Белому хакеру дадут $50 за найденную дыру в IT-системе Киевстар

Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает Ain.ua

Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.

Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.

Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.

Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.

По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.

Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.