Один хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.
Технические подробности
Один из шагов в процедуре привязки телефона в личный кабинет не корректно передавал параметры успешного прохождения этапа, в следствии чего шаг с смс-подверждением можно было пропустить.
Как вы думаете, какая сумма на балансе у среднего абонента Киевстар? 5-10 грн? А у тысячи абонентов это уже до 10 000 грн. Не говоря уже об элементарной тайне переписки и СМС с кодами входа интернет-банкинга.
Это критическая уязвимость, воспользовавшись которой, хакер-злоумышленник мог бы заполучить не малые деньги, а компания Киевстар потерять и деньги и репутацию.
Но к счастью, информация не попала в плохие руки, хакер оказался предельно этичным и повёл себя как исследователь, немедленно сообщив организации об уязвимости, хоть ему и было тяжело доверить столь деликатную информацию даже оператору, работающего в самой компании.
И знаете, Киевстар, быстро залатав дыру в своей безопасности, оценил данную уязвимость в 3 бесплатных месяца пользования интернетом, присудив именно такую награду исследователю.
Я понимаю, что с ничего платить деньги никто не рассчитывал и в бюджет это не закладывалось, но это может сыграть злую шутку с компанией в будущем, ведь некоторые IT-специалисты уже выразили своё сомнение по поводу справедливости вознаграждения.
И в правду, другой исследователь трижды подумает, а не выгодней ли будет, даже не пользоваться уязвимостью — это бы было незаконно, а продать эту информацию другим компаниям за приличные деньги, те кто разбирается в этом и понимают цену.
А данный случай лишь иной раз объясняет наличие большого количества хакеров-злоумышленников, чем славится Украина, где не создаются условия, когда хакеру выгодно переходить на белую сторону, становясь исследователем, а компании все так же борятся и страдают, а не уважают и поощряют.
Автор в G+.
UPD: Ответ руководителя в Киевстар (источник непроверен)
Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
Мне кажется сейчас как нельзя кстати пригласить Киевстар поучаствовать в качестве спонсора на хакерской конференции HackIT Ukraine, чтобы показать что они серьезно относятся к уязвимостям.
Комментарии (68)
iTaurus
22.07.2016 10:28+5Вообще-то, правильно будет IDDQD
RiseOfDeath
22.07.2016 10:36+5Я считаю статья не полноценная — в частности в ней озвучены не все ASCII символы. Жду продолжения.
upd.
Упс… случайно под вашим написал.
tundrawolf_kiba
22.07.2016 10:38+13По моим наблюдениям — этот пост можно назвать одним из самых полезных и содержательных постов на ГТ в последнее время. Кратко и по делу, ничего лишнего.
tangro
22.07.2016 12:28+2Кстати неплохая программа поощрения поиска багов у Приватбанка. Из четырёх обращений — за три мне выплатили вознаграждения и пофиксили, голд-карту дали с бесплатным обслуживанием. Для общения с безопасниками есть отдельный канал связи. В общем, могут люди, когда хотят.
tyua
22.07.2016 13:25+4Приватбанк раздает Gold карты бесплатно, кому не попадя.
Действительно очень сомнительное вознаграждение.tangro
22.07.2016 13:39+1Не «дали бесплатно», а «обслуживание бесплатно». Это вроде 20 грн в месяц. Мелочь, а приятно.
OlegProton
25.07.2016 10:24-10,8$ x12 = 9,6$ за баг? Смешно… Уж лучше б грамоту дали…
tangro
25.07.2016 10:39+1Не на год, а навсегда. И не за баг, а в дополнение к основной выплате за баг (см. расценки на официальном сайте).
pyrk2142
22.07.2016 13:54+2Я бы не сказал, что такая проблема существует только в отдельной стране. Игнорирование вопросов безопасности — глобальная проблема. Лично я считаю, что есть две причины:
1) Отсутствие нормальной оценки рисков в сфере ИБ. Для многих людей вся безопасность ограничивается HTTPS и использованием md5($password).
2) Нереально низкое число взломов. Серьезно, их настолько мало, что за последние три года я знаю только про ОДИН взлом аккаунта среди всех моих знакомых, который совершался с применением уязвимостей.
В прошлом году я нашел CSRF прямо в форме перевода денег в одном сервисе электронных денег. Почему за время его существования никто до меня не нашел это и не использовал для кражи?
В том же году на одном хостинге я нашел уязвимость, которая позволяла получить доступ к чужим данным, просто заменив номер аккаунта в адресной строке. Почему этот хостинг дожил до того момента?
В крупной российской CRM есть куча CSRF, причем они есть и на форме смены почты и пароля. Им года два-три минимум. Почему ими никто не воспользовался для массовой кражи данных?
Честно, я не знаю ответа на эти вопросы. Либо такое будет продолжаться, либо нас ждет волна взломов всего, которая наконец-то что-то изменит.
rewiaca
22.07.2016 15:04+1Ну так это вы молодец, вознаграждение за все получили?
pyrk2142
22.07.2016 15:12+1Платежный сервис выплатил вознаграждение, хостинг ответил что-то невнятное (из серии «Мы обязательно передадим разработчику»), от CRM получил чудесный ответ «Перенаправлено компетентному специалисту, если заинтересуется, ответит». Один нормальный результат из трех, неплохо.
ilyaplot
22.07.2016 14:02+3Говорят, тут плюсики раздают? Остались еще свободные? А вообще как только появился МТС Бонус, мы нашли багу, позволяющую пригласить друга несколько раз. Соответственно, мы приглашали друг друга до тех пор, пока не накопили баллы на что-то материальное. К сожалению, не помню что. В тот же день мы сообщили по email об этой дырке. Через 3 дня дыру закрыли, нам даже не ответили. А могли бы что-то хорошее получить (подписку годовую на какой-то хороший журнал точно)
valemak
22.07.2016 14:36+1Этот хакер ещё в Приват-Банк об найденных уязвимостях не сообщал. Эти бы его вообще засудили.
j_croix
22.07.2016 14:36+2Киевстар такой не один. Моя девушка, которая работает тестировщиком, обнаружила у Lux Express (автобусный перевозчик) возможность покупать билеты с максимальной скидкой на любой направление, даже если оснований для скидки фактически нет. Сообщила перевозчику, тот запросил дополнительную информацию, но сказасть спасибо либо не пожелал, либо поленился, либо просто забыл.
Вдохновлялась она, если можно так сказать, рассказанным на одной тест конференции аналогичным примером, но про British Airways. Авиакомпания за найденную уязвимость подарила билеты туда и обратно всей семье нашедшего.
tamtakoe
22.07.2016 15:12-13На Украине
svitoglad
22.07.2016 17:05-1Что бы знать как правильно почитайте лучше Пушкина «Полтава» (ПЕСНЬ ТРЕТИЯ — http://pushkin.aha.ru/TEXT/poems/polt.htm ). Или Розенталя: Справочник по правописанию и литературной правке.
tundrawolf_kiba
22.07.2016 19:36-2Ну на классиков не стоит ссылаться, они пишут как удобнее. Тот же Тарас Шевченко:
«Як умру, то поховайте
Мене на могилі
Серед степу широкого
На Вкраїні милій,»
Т.к. допустимы оба варианта, то мне кажется стоит придерживаться варианта «как благозвучнее в текущем контексте».
MiXei4
23.07.2016 22:16-2То есть правильно писать «Песнь третия» и «В Украйну» (с «й» как в оригинале)?
По поводу Розенталя есть такой комментарий
Да, мы знаем, что в последних изданиях «Справочника по правописанию и литературной правке» Розенталя вариант «в Украине» зафиксирован как нормативный. Но представляется, что это позиция не самого Розенталя, а редакторов, переиздававших справочник уже после смерти Дитмара Эльяшевича и внесших свои дополнения. Претензий к справочнику нет, но… без примеси политики, «Справочное бюро» предпочитает консервативную норму при употреблении названия суверенного государства – «на Украине».
dartraiden
22.07.2016 17:10+5В русском языке нет правила, указывающего писать «в Украине» или «на Украине», поэтому допускаются оба варианта. Право выбора остаётся за автором.
В Википедии одно время шла война между сторонниками «в» и «на». Поскольку это чистая вкусовщина, приводящая к бесконечным правкам туда-сюда, распатрулированию статей и засорению списков наблюдений, было принято решение: в свежесоздаваемых текстах допускаются оба варианта; можно исправлять «в» на «на» (исключительно потому, что «на» чаще встречается в русскоязычных источниках); обратно исправлять нельзя.
Но, повторюсь, допускаются оба варианта, так что нет причин спорить, какой кошернее.
General_Failure
23.07.2016 13:05+1Я в этой войне не участвовал и даже не наблюдал специально, но со стороны сторонники варианта «в Украине» мне казались более агрессивными
Вообще, даже если правило и обязывает писать «в %country_name%», то из любого правда бывают исключения
И я, кроме Украины, навскидку могу назвать ещё КубуGeneral_Failure
24.07.2016 09:25-1Видимо не казались, а действительно более агрессивные
Комментарий заминусовали — ладно, мало ли сколько народу не согласны со мной
В карму GT нагадили — ну ладно, бывает
Но зачем сливать карму в хабровском профиле? Для профилактики что ли?
Извините, это уже не просто агрессивность, это неадекватная агрессивность,
getmanartem
27.07.2016 14:03+1сливают карму тем, кто на эту самую карму мастурбирует как подросток. Интересные и полезные статьи это публиковать не мешает
General_Failure
27.07.2016 14:17-2Извините, что за бред?
Прямо сидят некоторые товарищи и смотрят, кто же там себе в профиль заглядывал карму проверить — надо их срочно в минуса загнать! Штатные модераторы, видимо.
Может ещё про волосатые ладони расскажете?
И при чём здесь интересные и полезные статьи? Я где-то писал, что статья УГ? Я высказал своё мнение по поводу «в/на Украине», оказавшееся сильно непопулярным.getmanartem
27.07.2016 14:20+3я вам ответил по поводу кармы — фрустрация на тему ±, лайков/дизлайков это детский сад. Что ж поделать если вы пишете глупости или то, что не нравится другим. Это не помешает вам писать статьи
radistao
27.07.2016 12:59+1навскидку могу назвать ещё Кубу
острова очень часто используют на используют. Навскидку: на Гаити, на Мадагаскар, на Ямайку, на Кипр, на Барбадос. Но при этом: в Японию, в Новую Зеландию, в Исладнию, в Ирландию.General_Failure
27.07.2016 13:30Куба вообще-то не только остров, но и государство (как и Гаити, и Ямайка и т.д.), но никто не меняет «на» на «в», когда говорят про государство, а не про остров.
Да, совпадение названий острова и государства — причина использования «на», но кто сказал, что это может быть единственной причиной? Почему Украина попала в исключения — не могу сказать, не историк. Но видимо, причина была, раз так все говорят.
General_Failure
27.07.2016 13:42Кстати, ещё вариант — «на Руси»
При том что Русь — не остров, не территория, а вполне себе государство, пусть и из прошлого
Почему «на»? Пусть историки ответят, так сложилось
Можно, конечно, докопаться, типа полностью «в Киевской Руси», но сейчас Россия и Российская Федерация — однозначные названия (в конституции прямо так и указано)
RomaS
25.07.2016 10:26В современном языке как-раз есть правило, оно ясно определено. Не могу вставить картинкой.
std3.ru/c3/9a/1452498890-c39a3fdf97d1d6b613a7f23c8a10c7c4.jpegGeneral_Failure
27.07.2016 14:02+1Гляньте сюда — http://andy-shev.livejournal.com/150364.html
Чел пишет — «Розенталь не писал примеры типа «в Украину» в своих книгах, всё выдумано после его смерти»
Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
И действительно, никакой «в Украине» там нет
RomaS
27.07.2016 14:12Это что, шутка такая про 1989 год?
Во-вторых, книга под редакцией Голуба, с соответственными корректировками, учитывающие геополитические изменения.General_Failure
27.07.2016 14:27Не понял, где вы увидели шутку
Одно из предыдущих изданий, НЕ учитывающее сегодняшние геополитические изменения
А зачем вообще зачем геополитика в правилах языка?
Может, как в США, запретим слово «негр»?
Может, к математике тоже политику примешаем?RomaS
27.07.2016 14:50Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
И действительно, никакой «в Украине» там нет
Нет, т. к. Украина обрела независимость в 1991 году. На карте мира появилось новое государство. С этим учётом следует говорить и писать «в Украине».General_Failure
27.07.2016 15:04+3До распада СССР никто не говорил «на Казахстане», «на Латвии», «на Грузии» и т.д., хотя тогда они не были самостоятельными государствами
В/на не только для государств неоднозначное, для других типов территорий тоже — сравните, например, «на Алтае» и «в Сибири»
Soultan
22.07.2016 15:21+10Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
vitalvas
23.07.2016 21:30+2А стык в эстонию когда почините?
Писал на geo@ несколько раз — полный ингор.
Нашел занимательный баг в маршрутизации на juniper-ах вместе с межународними noc-ами.
ffs
Кого-то взломали?
rewiaca
Видимо я опубликовал черновик, извиняюсь, уже исправил
ffs
Да ничего, пятница же. Да и понравилось всем, судя по комментариям)