Белому хакеру дадут $50 за найденную дыру в IT-системе Киевстар
![Белому хакеру дадут $50 за найденную дыру в IT-системе Киевстар Белому хакеру дадут $50 за найденную дыру в IT-системе Киевстар](https://wsrv.nl/?output=webp&url=www.liga.net/images/general/2017/02/14/201702141935523257.jpg&w=620&fit=cover&dpr=2)
Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает Ain.ua
Подписывайтесь на полезный легкий контент в Instagram
Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.
Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.
Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.
Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.
![Белому хакеру дадут $50 за найденную дыру в IT-системе Киевстар](https://www.liga.net/images/general/2018/08/01/20180801130331-3631.png)
По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.
Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.