Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.

Например:


Спасибо вам за поддержку и комментарии! Итоги голосования:



На некоторые комментарии я по тем или иным причинам тогда не ответил, но не могу не ответить сейчас.

Напомню, что мне случайно пришло письмо с закладками из рабочего браузера сотрудника Киевстар. Я по очереди открыл все 113 закладок и обнаружил среди них файл с названиями сервисов, логинами и паролями и другой информацией. Да, файл находился на Google Docs с правами доступа «Для всех».

У меня были опасения в их будущей реакции на репорт, поэтому
Сперва на Bugcrowd я сообщил, чтобы они срочно поменяли пароли. Мне ответили, что знают про индексацию файлов из поста на Хабре и уже закрыли везде такие файлы.

Я указал, что не закрыли, и прислал скриншоты, где видно, что я смог войти рандомно в их учётки.

Затем меня спросили, как я получил такие данные, и я указал, как (получил на e-mail).

Потом спросили, как я смог получить такой e-mail — и я ответил, что я везунчик, или просто сотрудница опечаталась, когда отправляла закладки себе (так и оказалось в итоге).

В процессе переписки моему сигналу был присвоен наивысший приоритет — P1 (Sensitive Data Exposure: Critically Sensitive Data — Password Disclosure), в рамках которого выплаты составляют от $1000 до $3000 (а ещё можно сложить Mobile + WEB apps).

image
Ну а дальше вы знаете.

Когда мой коллега Егор Папышев поделился своим мнением в Facebook, было неприятно услышать, как другой уважаемый человек (Владимир Стыран, специалист по информационной безопасности — CISSP, CISA, OSCP, CEH), был негативно настроен к ситуации, и писал Егору, что тот не знает деталей и не разобрался в ситуации.

При этом Владимир и сам не разобрался в ситуации. Вот его насмешливый пост:

Якщо в тебе є баг і ти його викидаєш в паблік, це називається Full Disclosure. Якщо в тебе є баг і ти його віддаєш...

Опубликовано Volodymyr Styran Среда, 1 августа 2018 г.


Я переведу и прокомментирую несколько последних пунктов:

  • Если ты не в курсе, что обжаловать сумму выплаты тебе мог помочь саппорт брокера, через которого ты сообщил вендору багу, потому что вообще-то это одна из его ролей в ваших трехсторонних отношениях, это называется лохануться. — Саппорт Bugcrowd в переписке со мной неоднократно поддерживал моё мнение и мнение большинства, что Киевстар неправ и должен был выплатить больше. «Брокер» не смог повлиять на оператора. И лоханулся тут не я.
  • Если ты начинаешь угрожать вендору Full Disclosure в случае не увеличения выплаты, это называется вымогательство или шантаж. Но скорее всего это назовут вымогательством, потому что за шантаж в кодексе нет статьи. — Шантажа и вымогательства не было. Угроз не было. Владимир знал бы об этом, если бы читал тот отчёт. Что характерно, мой аккаунт на Bugcrowd заблокировали (это нестрашно) не сразу после выхода поста на Хабре, а где-то через неделю, как раз одновременно с другим его едким постом в FB.
  • Если же у тебя нет бага, ты прочитал о нем на Хабре, ты рассказал о нем у себя на странице в Фейсбуке, чтобы получить N лайков и + M фолловеров, то ты блоггер и тут нечем гордиться. — Тут и добавить нечего.

Впрочем, как мне стало известно, Владимир участвовал в запуске Bug Bounty компании Киевстар, поэтому я допускаю, что у него замыленный глаз.

Идём дальше. Простой пример: Apple Developer, скриншоты их консоли вы видели в моём посте.
В файле с паролями были ещё строки и колонки, и конкретно по Apple было указано следующее: Last modified — 18.05.2016.

Т.е. последний раз данные учётки разработчика Apple редактировались ещё в мае 2016-го — более, чем за год до получения мной письма и нахождения в нём ссылки. Что, опять-таки, подтверждается тем фактом, что я смог войти с указанным паролем.

Таким образом, говоря про безопасность бизнес-процессов в Киевстаре, можно подытожить:

  • мало того, что логины и пароли хранились (или хранятся?) на внешнем общедоступном ресурсе Google Docs с правами доступа «Для всех»,
  • мало того, что для входа не требуется двухфакторная аутентификация,
  • мало того, что многие пароли были словарными и легко подбираемыми и имели вид (изменено) upsups92, suchapassword, DigitTeam2017, Digital2016, Kyivstardigteam2017, ks-anya$bd2016, KSDigit2018,
  • так эти пароли ещё и не менялись больше года.

Что ещё. Многие так и не поняли, почему была указана такая странная сумма в $5800, почему не $6000 ровно, почему сразу не миллион долларов? — «По его мнению, лишь официальная стоимость аккаунтов превышает $5800».

Ответ на этот вопрос был с самого начала на Хабре, его попросту не заметили:


(для увеличения изображения откройте его в новой вкладке)

Ключевое здесь "откройте его в новой вкладке" — при нажатии на изображение (прямая ссылка) открывалась полная картинка, где также видны другие колонки: Last modified, Paid till (date), Need till (date), Project (as in ASUP), Type of payment, Cost, Currency.

Путём простого суммирования цифр из колонки «Cost» мной и была получена цифра в $5800 — это официальная (а не придуманная мной) стоимость аккаунтов в перечисленных сервисах, которую я указал в отчёте на Bugcrowd.

Я не просил и не требовал ни эту сумму, ни любую другую, как тогда соврал Soultan, а сравнил указанное их вознаграждение в $50 с минимальным возможным ущербом — попросту говоря, с потерей доступа к сервисам, на покупку которых они потратили >$5800.

Далее.

Если кому интересно, не так давно программа BugBounty Киевстара была закрыта полностью (не приватный режим, а именно закрыта), а сотрудник Soultan, который отвечал здесь на комментарии, не так давно ушёл из Киевстара.

Кстати, в комментариях под его прощальной записью об уходе из компании ему пишет «В добрый путь, Виталий!» сотрудница, которая и отправила тот злосчастный e-mail. Такие дела.

Выделенную выше информацию я дописал небольшим апдейтом к первоначальному посту. Я не злорадствую по этому поводу. Они совершили тогда ошибку — возможно, расплачиваются.

pyrk2142 в комментариях спросил:
Это достаточно неожиданно. Получается, что информация здесь больше не актуальна?

И сейчас я могу ответить, что да, информация по Bug Bounty Киевстара неактуальна: я нашёл возможность получать информацию о покупках людей, проходящих через платёжные сервисы Киевстара, даже если те не являются его клиентами. Я дал компании второй шанс — но она им не воспользовалась.

Итак, инфо о покупках, проходящих через сервисы Киевстара, по картам даже не_клиентов последнего.

Во время тестирования приложения одной компании я обнаружил, что Киевстар выступает как платёжный провайдер в рамках сотрудничества с Visa QR Payments — mVisa — оплаты с помощью QR-кода идут через qrpayments.kyivstar.ua.

Это транзакции клиентов в таких торговых точках, как, например:

  • Crema Caffe, Kyiv,
  • Smachno, Kyiv,
  • Third Floor Cafe, Kyiv — первые и чаще всего операции были именно здесь. По всей видимости, это кафе на 3-м этаже в офисе Киевстара, где и начали тестирование QR-оплат;
  • Auchan, Kyev,
  • Auchan, Lviv,
  • Auchan, Dnipropetrovska — сеть гипермаркетов Ашан (Украина);
  • mVisa merchant;
  • GIVC, Kiev — ГИВЦ, Главный информационно-вычислительный центр, Киев. Здесь происходят начисления и расчёты за большинство коммунальных платежей жителей Киева;
  • GERC, Odesa — ГЕРЦ, Городской единый расчётный центр, Одесса. Аналогично ГИВЦ выше, только охват ещё больше: сайт предназначен не только для населения Одессы, но и для таких городов, как: Киев, Белгород-Днестровский, Рени, Черноморск и Южный;
  • и пр.

Пример полученных данных:

{"Id":1305	Date:"2018-10-05T15:15:42.3921295"	State:0	Amount:-1278.8100	TipsAmount:0.0000	Currency:"UAH"	MerchantName:"Auchan"	MerchantCity:"Lviv"	MerchantId:"4109499405597549"	ApprovalCode:"516634"	ReferenceNumber:""	CardNumber:"5375XXXXXXXX3858"}
											
{"Id":1308	Date:"2018-10-06T12:43:31.1179667"	State:3	Amount:-4192.9700	TipsAmount:0.0000	Currency:"UAH"	MerchantName:"Auchan"	MerchantCity:"Kyev"	MerchantId:"4109494835704666"	ApprovalCode:""	ReferenceNumber:"827991150697"	CardNumber:"4824XXXXXXXX6937"}
											
{"Id":1702	Date:"2018-12-06T18:40:02.657213"	State:3	Amount:-81.0000	TipsAmount:0.0000	Currency:"UAH"	MerchantName:"GIVC"	MerchantCity:"Kiev"	MerchantId:"4109499632222754"	ApprovalCode:"605231"	ReferenceNumber:"834091189417"	CardNumber:"5168XXXXXXXX9997"}

Сервис отвечал на запросы только с корректными «Authorization» и «Map-AuthToken», последний из которых содержал закодированные в Base64 {"alg":"RS256","kid":"33E283272B0433E283281FF404CA6F031E28320","typ":"JWT"}{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone":"0800300466", "http://schemas.lime-systems.com/identity/claims/authId":"1199333", "http://schemas.lime-systems.com/identity/claims/userId":"25046", "http://schemas.lime-systems.com/identity/claims/deviceId":"12342", "nbf":1541370000, "exp":1541380001, "iat":1541390001, "iss":"http://localhost", "aud":"http://localhost"} и другие данные.

Но несмотря на необходимость наличия в запросе корректных параметров, указанных выше, единожды получив Map-AuthToken, дальше можно было выполнять GET-запросы на адрес вида https://qrpayments.kyivstar.ua/map/api/consumers/ множество раз.

И хотя всего за период с момента запуска, 16.04.2018, было осуществлено не так много операций (~2000 шт.) и сами полученные данные некритичны, такая ситуация настораживает:
даже если вы не пользуетесь Киевстаром, а просто платите в магазине Auchan картой банка Bank, хакеры могут взломать провайдера KC и получить о вас информацию.

В сфере платёжных карт есть подходящая по описанию ситуация: единая точка компрометации — это может быть терминал, банкомат, торговое предприятие, эквайер, процессинговый центр, через который были хищения с разных карт разных клиентов.

Перенося ситуацию на данного мобильного оператора: взломав один сервис, вы можете получить информацию из нескольких.



Перед публикацией этого материала я дал Киевстару второй шанс — отправил три письма по адресу bounty@kyivstar.net, который указан у них на специальной странице: 17-го декабря, 20-го декабря и 27-го декабря, всё рабочие дни.

Отправлял, на всякий случай, с ящика, который не был указан в ситуации с утекшими паролями. Письма получены, но никакой обратной связи, даже автоматического ответа, не последовало.

Как вы понимаете, уязвимость не прикрыта, поэтому больше подробностей я указать не могу. Впрочем, всё и так понятно.

Комментарии (32)


  1. chupasaurus
    09.01.2019 10:44
    +1

    image


  1. powerman
    09.01.2019 10:53
    +4

    Бизнес понимает только один язык: прибыли и убытки. Поэтому, если нам хочется повышать безопасность используемых устройств, приложений и сервисов, необходимо разговаривать с бизнесом на понятном ему языке: если на официальном сайте не указан способ связи по вопросам безопасности (пусть даже это обычный support@) либо в ответ на сообщение по этому каналу связи не последовало адекватной реакции (подтверждения получения в течении нескольких рабочих дней и исправления проблемы в течении месяца) — необходимо в обязательном порядке делать full disclosure, вне зависимости от последствий для бизнеса (а для защиты от последствий для исследователя публиковать анонимно).


    1. neuotq
      09.01.2019 14:25
      +3

      Согласен. Тут даже не в наказании дело. Компания не реагирует. Уязвимость есть, опасность для пользователей есть. Значит предупредить пользователей о том что есть дыра и есть шанс утечки ваших данных — благое дело.


  1. IGR2014
    09.01.2019 14:38

    С Киевстаром мне всё стало понятно когда новый глава фактически обвинил самих пользователей в упавшем качестве 3G-связи. Мотивация была в духе «Вы стали чаще пользоваться, поэтому так плохо и работает», только в более аккуратной и завуалированной форме…


    1. site6893
      09.01.2019 16:49

      а какие есть альтернативы по совокупности факторов, (качество-цена-покрытие-скорость доступа)?


      1. DarkFatal1ty
        09.01.2019 18:54

        А бог его знает, все операторы одинаково Г. И альтернативы нет.
        В Одессе с сетью особых траблов нет, как и у Киева, так и у Водафона.
        В Киеве задница, ибо у обоих можешь стоять — у тебя 4G, отойдешь на метр — у тебя EDGE.
        Life я не рассматриваю, ибо у меня некому с него звонить.
        Тримоб в стагнации, вечный роуминг, уже старый 3G с так себе покрытием.
        Интертелеком — тупик и специфические устройства.

        Киевстар раздражает меня своей тарификацией и доп. услугами, которые просто не работают (я не знаю, за что с меня снимают деньги за 30 минут городских номеров, если позвонить нельзя). Водафон в плане оплаты мне нравится больше, там все четко и прозрачно. Покрытие в черте города ± одинаковое, Киевстар живет чуть дольше.

        Альтернативы нет, приходится жрать кактус. А выкинуть симки и не использовать телефон — тоже не вариант. Поэтому, я сижу на Киевстаре с 2004 года, а Водафон я купил недавно только ради красивого номера и «безопасного» контрактного номера для разных чувствительных вещей.
        Я, честно говоря, не удивлен, что Big Bounty свернут, а тогда дали только 50 долларов этому парню. Это особенность бизнеса на нашем с Вами постсовестском пространстве, и ничего нового. Если качество услуг хромает, и построить базовую станцию это нонсенс и событие века, о каких доп. вещах, как Big Bounty, может идти речь?

        А особенно я люблю поддержку Киевстара — коллцентра нет, робот на сайте из 5 строчек кода, и Мой Киевстар напоминающий китайское общежитие где не ясно как отключить грабеж.
        Тарифная линейка на 4 недели это отдельная история. А еще, зачем мне платить 60+ грн за 2 ГБ трафика( 2,5+ доллара), если, например, у моей бабушки старая кнопочная Моторолла, и она не использует интернет?

        Эх. Жаль, что частоты стоят миллиарды гривен и своего оператора нельзя просто взять и сделать.


        1. xXxSPYxXx
          09.01.2019 19:48

          А я использую Домашний Интернет 100 Мбит + безлимит на телефоне за 155грн. Получается по 77,5 за каждую услугу.


        1. seri0shka
          09.01.2019 23:41

          А еще, зачем мне платить 60+ грн за 2 ГБ трафика( 2,5+ доллара), если, например, у моей бабушки старая кнопочная Моторолла, и она не использует интернет?
          Мы проанализировали то, как часто вы звоните в сети Киевстар и на другие мобильные, а также, сколько мегабайт мобильного интернета обычно используете. Рекомендуем вам тарифные планы, которые идеально отвечают вашим потребностям:
          Тариф «Киевстар Безлим Видео»
          Качественный 3G- 9000 МБ
          Звонки в сети Киевстар- Безлим
          Звонки на другие сети-? мин/мес
          SMS- 150 SMS
          За это удовольствие мне предлагают платить 150 грн в месяц.
          А вы, суки, не проанализировали, что в моём телефоне интернета нет вообще (второй телефон), и звонил я за год максимум 50 минут? Даже при том, что мобильный интернет мне нужен много раз за день, мне на смартфоне хватает 100 МБ в месяц с головой. В результате две киевстаровские из трёх моих симкарт «заработали» за прошедший год максимум 2 у.е., а остальные деньги я плачу менее жадным операторам (полгода одному, потом полгода другому, так как первый «зажрался»).
          Понимаю, что немного не в тему, но не могу пройти мимо и не плюнуть в морду Киевстару на прощание.


          1. site6893
            10.01.2019 10:57

            проанализировали? ЛОЛ, они за каждый доллар жмутся, чуваку вон всего 50уе заплатили за серьезные вещи, и то после скандала. Откуда у них деньги на «проанализировали»? Для этого топам и владельцам киевстара надо прау яхт продать, а они на это не пойдут)


        1. Massacre
          10.01.2019 01:53

          … зато у Интертелекома действительно непадучий инет (в Киеве), можно резерв поднимать, хоть и IP серый выдают, и до 2мбит в среднем (у меня модем ещё Rev. A).

          А в тарифной линейке КС, после этой хрени со сменой тарифных планов, сейчас надо брать Комфорт с опцией «плати, когда используешь», и работать в режиме «только входящие».


          1. seri0shka
            10.01.2019 20:39

            надо брать Комфорт с опцией «плати, когда используешь»

            Меня бы устроило, возможно. Но этот тариф недоступен, как я понял.


            1. Massacre
              10.01.2019 23:03

              Почему же, должен быть доступен, на сайте не показан, как архивный или акционный…


    1. Javian
      09.01.2019 18:34

      Это даёт ощущение, что компании приходит конец и в скорее её поглотить кто-то ещё.


  1. flickrs
    09.01.2019 19:08

    Билайн под вывеской «Киевстар»…


    1. Sungmaster
      09.01.2019 21:25
      +1

      Хотите интересный факт? Киевстар выкупил украинский Beeline в 2010 году, и он вместе с российским Билайном пренадлежат Veon Ltd. (до 2017 года VimpelCom Ltd.)


  1. ScoutUa
    09.01.2019 20:01

    Зная жлобство этого оператора — выплата 50$ это уже событие вселенских масштабов для компании… Они никогда не выполняли обещанное. Из последнего — продавали за дикие деньги «безлимиты» с обещанием что никто не будет шейпить их. Прошло пару месяцев и закрутили по скорости до 1 мбит…
    КС сейчас взял направление на «повышение прибыли», а в итоге имеет отток АБ — как мобильной, так и проводного интернета. Инфляция по тарифам с 1 января составила около 100%, а «невыгодные» тарифы по их мнению закрывают с февраля — те, на которых нет ежедневной обдираловки
    Загнивать он начал еще после слияния с билайном
    Жаль только что АБ ходит по кругу, так как альтернатив практически нет. Вся тройка в сговоре сделала тарифы на 28 дней, но начал именно КС. За что и получает заслуженные лучи «добра» от всех юзеров


  1. grayich
    09.01.2019 20:09

    С операторами вообще весело, Киевстар 15-го закрывает кучу тарифов, оставляет по факту только 3 тарифа по предоплате и при этом ни одного безабонплатного. Впрочем тарифов без абонплаты больше не предоставляет ни один оператор. Те кто телефоном пользуются редко или используют только для интернет и регистрации на интернет ресурсах, оказываются за бортом. В России та же ситуация?


    1. woooody
      09.01.2019 22:18

      Есть, например на мегафоне. Единственное ограничение — надо чтоб был хоть какой-то расход раз в 2-3 месяца, иначе начинают снимать плату за неиспользование номера (ежедневную и существенную).
      Правда стоимость минут и особенно интернета там космическая, по сравнению с Украиной.


    1. Massacre
      10.01.2019 02:01

      Вообще-то на Комфорт можно подключить опцию без абонплаты, 477*68


      1. grayich
        10.01.2019 15:43

        Вообще-то нет. На странице описания этого тарифа написано:

        С 15.01.19 по 15.02.19 этот тариф закрывается. Пользователи могут изменить свой тариф самостоятельно или будут переведены автоматически на тарифы, которые подобраны согласно потребностей абонента.


        1. Massacre
          10.01.2019 18:48

          Не тот Комфорт. Новый, который 3грн/день. kyivstar.ua/uk/mm/tariffs/arhive/comfortable red-forum.com/showthread.php?t=31456


          1. grayich
            11.01.2019 11:05

            Благодарю, удалось, правда через саппорт и много часов мороки, через 477*68 досих пор нет подобных пунктов.
            Интересно, откуда вообще про эту опцию взялась информация, ведь на официальном сайте ни слова не нашёл, поддержка в чате тоже не сообщила когда выпытывал у них информацию о тарифах.


            1. Massacre
              11.01.2019 19:43

              С ред форума:

              Только что узнавал информацию об опции «Плати когда пользуешся» для этого тарифа у оператора Facebook — оператор написал, что опцию могут подключить ВСЕ пользователи тарифа «Киевстар Комфорт», и ещё передал заявку разработчикам, чтобы на странице тарифа внесли информацию об этой опции. Подключается опция звонком на 477*68. Добавляю эту информацию в шапку темы. Также, кто самостоятельно сможет подключить данную опцию на номере с не закрывающимся тарифом — пишем в теме.


    1. nidalee
      10.01.2019 10:46

      В России пока не так, но тут в любом случае хорошо развита продажа «закрытых» тарифов, так что не пропадем, я думаю.


  1. Kalashmatik
    09.01.2019 20:10

    Билайн и в РФ полное дно, не удивлен, что и там такая же история…


    1. ScoutUa
      11.01.2019 11:13

      В Украине Билайн себя хорошо зарекомендовал за те несколько лет, пока был самостоятельной конторой. Тарифы были очень удобными. Один только «29» отожрал большую часть АБ. При чем условия тарифа были такими, что все плюшки (звонки в сети, смс и прочее) начислялась только за пополнение счета, что позволяло всегда иметь на счету приличную сумму и звонить куда угодно не задумываясь о минутах
      Сейчас же все тарифы обязательно «сжигают» ту сумму, которая указана в условиях
      Качество связи и поддержка тоже на уровне.
      Еще Билайн активно занимался домашним интернетом, от чего сфинктеры сжимались не только у мобильных операторов, а и у провайдеров
      Ну а после слияния с КС начался бардак. Там особо не разберешь уже кто дергает за ниточки этого монстра


  1. Samber
    09.01.2019 20:45

    Ломайте МТС (vodafone) — мне samsung galaxy a5 подогнали, за найденную в их приложении уязвимость


    1. gabin8
      09.01.2019 22:38

      а что за уязвимость была?


  1. KirEv
    10.01.2019 04:29
    -1

    последние как не года два, то год — так точно, киевстар медленно но уверено превращается в свинский сервис… я абонент лет 10 наверное, ну и домашний киевстар… и вот года полтора назад начались глюки с связью… потом интернет мобильный тупит часто и жудко…

    а вообще, они никогда не отличались особой лояльностью, может потому что одни из крупнейших…

    … не та страна у нас… в цивилизованном мире достаточно 1 судового позова чтобы такое на миллионы компенсировать, а у нас порядошный поступок не то что поощрить должным образом отказываются (кроме того официальная программа есть), так и вовсе виноватым сделают…

    страна дураков… все верно выше сказано, бизнес понимает язык прибыли\убытка, особенно в нашей стране…


  1. qwert_ukg
    10.01.2019 07:29

    Ty prosto poluchil ssylku na shred doc i hochesh 3k $?


    1. Superl3n1n
      10.01.2019 09:00

      Вы скорее всего пропустили первую часть. Там автор поставил опросник, во сколько сообщество оценивает данный косяк. В текущем посте скриншот этого голосования. Автор же нигде не озвучивал сумму, которую он хочет. Иначе это можно трактовать как вымогательство, а это уже статья.


  1. Gorodnya Автор
    10.01.2019 23:00
    +1

    Киевстар не снизошёл сюда, но дал комментарии в статье на AIN.UA:

    За время действия программы Bug Bounty мы получили ряд идей и предложений от независимых экспертов, что помогло нам улучшить работу сервисов и мобильных приложений. Компания реализовала все цели, которые планировала достичь в этом проекте. В данное время потребности в продолжении проекта нет, однако мы всегда можем вернуться к этому вопросу, если такая необходимость появится.

    И ЛИГА.net:
    В ходе проекта мы получили ряд идей и предложений от независимых экспертов, что позволило улучшить работу отдельных сервисов и мобильных приложений. Авторы предложений, которые соответствовали правилам программы, получили вознаграждения

    И вот ещё:
    Наличие же заявленной хакером уязвимости в Киевстаре отрицают. Говорят, служба кибербезопасности оператора дополнительно проверила работу всех систем компании и «подтвердила, что данные клиентов в полной безопасности».