Мобильный оператор Киевстар потерял пароли к важным сервисам своей инфраструктуры

Мобильный оператор Киевстар потерял списки паролей с доступами к важным узлам своей инфраструктуры, а нашедшему их выплатил 50$.

Сегодня на популярном IT ресурсе Habr пользователь под псевдонимом @Gorodnya выложил информацию о том, что к нему попал файл со списком паролей к важным критическим сервисам инфраструктуры оператора Киевстар.

Пользователь рассказал, что к нему в почтовый ящик пришло письмо от сотрудницы компании Киевстар, с которой он на днях переписывался и в этом письме был приложен файл, в котором находилось более ста паролей к разным важным сервисам инфраструктуры компании Киевстар. Файл содержал подробные ссылки на каждый сервис, логин и пароль к каждому из них, краткое описание и регулярные суммы расходов по ним.

Убедившись, что пароли в полученном файле не обман и действительно дают доступ уровня администратора к указанным сервисам при этом Киевстар не использует дополнительную защиту в виде двухфакторной авторизации в компанию Киевстар был отравлен запрос по программе BugBounty.

В общей сложности был получен доступ к таким важным сервисам как:

Amazon Web Services
Apple Developer
Mobile Action
App Annie
Disqus
Google Developers
Windows Dev Center
KBRemote
JIRA
Smartsheet
PushWoosh
TicketForEvent
Samsung Developers
CMS для bigdata.kyivstar.ua и hub.kyivstar.ua
Gmail
Zeplin
Prezi
Bitbucket

Потеря доступа к ним или же получение к ним доступа конкурентов могло стоить компании многомиллионных убытков и создать серьезный удар по репутации, а так же опасности были подвергнуты все пользователи, которые так или иначе пользуются услугами Киевстар. Одна только подмена мобильного приложения в Apple Store или Play Market на вредоносное могло привести к серьезным потерям не только самой компании Киевстар, но и каждого её пользователя, которому на телефон могло быть установлено вредоносное ПО.

За то, что пользователь, «нашедший» эти пароли сообщил об инциденте в компанию Киевстар, а не продал этот список на чёрном рынке или же отдал их конкурентам было выплачено вознаграждение в сумме всего 50 долларов.

В сообществе Habr в комментариях к записи уже появились комментарии о том, что в будущем сообщать в компанию Киевстар данные о найденных уязвимостях не имет смысла и выгоднее продавать их на черном рынке, где за них могут заплатить значительно большие суммы, нежели поощрительные 50$.

Пользователь под псевдонимом @Soultan, представившийся сотрудником компании Киевстар (директором направления Digital) прокомментировал столь низкое вознаграждение тем, что получение файла от сотрудника компании не является чем-то существенным или сложным и не требует дополнительных знаний, а значит не имеет особой ценности. Кроме того, сотрудник компании Киевстар заявил, что текущий инцидент не попадает под условия программы BugBounty, т.к. не требует от компании Киевстар каких-либо действий для устранения уязвимости, не требует от ресерчера каких-либо действий для нахождения уязвимости и потому вообще не требует вознаграждения, но компания Киевстар всеравно благодарна ресерчеру и выплатила ему просто поощрительное вознаграждение в 50$.

Так же пользователя @Gorodnya, сообщивщего о проблеме сотрудник компании Киевстар под ником @Soultan обвинил в вымогательстве и нарушении программы BugBounty (но по заявлению того же @Soultan этот инцидент не попадает под программу BugBounty).

Скриншот части файла, который был получен на почту @Gorodnya