Например:
- Собственно, Хабр, 33 тысячи просмотров, 188 комментариев: Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
- AIN.UA, 12 тысяч просмотров: Тестировщик получил доступ к корпоративным сервисам Киевстар. Ему предложили всего $50
- ITC.ua, 350 комментариев: «Киевстар» предложил пользователю $50 за найденные пароли к корпоративным системам, тот остался недоволен
- Ebanoe.IT, 26 тысяч просмотров, 169 комментариев: Хакеру всунули подачку 50$ за найденную уязвимость в системе Киевстар
Спасибо вам за поддержку и комментарии! Итоги голосования:
На некоторые комментарии я по тем или иным причинам тогда не ответил, но не могу не ответить сейчас.
Напомню, что мне случайно пришло письмо с закладками из рабочего браузера сотрудника Киевстар. Я по очереди открыл все 113 закладок и обнаружил среди них файл с названиями сервисов, логинами и паролями и другой информацией. Да, файл находился на Google Docs с правами доступа «Для всех».
Я указал, что не закрыли, и прислал скриншоты, где видно, что я смог войти рандомно в их учётки.
Затем меня спросили, как я получил такие данные, и я указал, как (получил на e-mail).
Потом спросили, как я смог получить такой e-mail — и я ответил, что я везунчик, или просто сотрудница опечаталась, когда отправляла закладки себе (так и оказалось в итоге).
В процессе переписки моему сигналу был присвоен наивысший приоритет — P1 (Sensitive Data Exposure: Critically Sensitive Data — Password Disclosure), в рамках которого выплаты составляют от $1000 до $3000 (а ещё можно сложить Mobile + WEB apps).
Ну а дальше вы знаете.
Когда мой коллега Егор Папышев поделился своим мнением в Facebook, было неприятно услышать, как другой уважаемый человек (Владимир Стыран, специалист по информационной безопасности — CISSP, CISA, OSCP, CEH), был негативно настроен к ситуации, и писал Егору, что тот не знает деталей и не разобрался в ситуации.
При этом Владимир и сам не разобрался в ситуации. Вот его насмешливый пост:
Я переведу и прокомментирую несколько последних пунктов:
- Если ты не в курсе, что обжаловать сумму выплаты тебе мог помочь саппорт брокера, через которого ты сообщил вендору багу, потому что вообще-то это одна из его ролей в ваших трехсторонних отношениях, это называется лохануться. — Саппорт Bugcrowd в переписке со мной неоднократно поддерживал моё мнение и мнение большинства, что Киевстар неправ и должен был выплатить больше. «Брокер» не смог повлиять на оператора. И лоханулся тут не я.
- Если ты начинаешь угрожать вендору Full Disclosure в случае не увеличения выплаты, это называется вымогательство или шантаж. Но скорее всего это назовут вымогательством, потому что за шантаж в кодексе нет статьи. — Шантажа и вымогательства не было. Угроз не было. Владимир знал бы об этом, если бы читал тот отчёт. Что характерно, мой аккаунт на Bugcrowd заблокировали (это нестрашно) не сразу после выхода поста на Хабре, а где-то через неделю, как раз одновременно с другим его едким постом в FB.
- Если же у тебя нет бага, ты прочитал о нем на Хабре, ты рассказал о нем у себя на странице в Фейсбуке, чтобы получить N лайков и + M фолловеров, то ты блоггер и тут нечем гордиться. — Тут и добавить нечего.
Впрочем, как мне стало известно, Владимир участвовал в запуске Bug Bounty компании Киевстар, поэтому я допускаю, что у него замыленный глаз.
Идём дальше. Простой пример: Apple Developer, скриншоты их консоли вы видели в моём посте.
В файле с паролями были ещё строки и колонки, и конкретно по Apple было указано следующее: Last modified — 18.05.2016.
Т.е. последний раз данные учётки разработчика Apple редактировались ещё в мае 2016-го — более, чем за год до получения мной письма и нахождения в нём ссылки. Что, опять-таки, подтверждается тем фактом, что я смог войти с указанным паролем.
Таким образом, говоря про безопасность бизнес-процессов в Киевстаре, можно подытожить:
- мало того, что логины и пароли хранились (или хранятся?) на внешнем общедоступном ресурсе Google Docs с правами доступа «Для всех»,
- мало того, что для входа не требуется двухфакторная аутентификация,
- мало того, что многие пароли были словарными и легко подбираемыми и имели вид (изменено) upsups92, suchapassword, DigitTeam2017, Digital2016, Kyivstardigteam2017, ks-anya$bd2016, KSDigit2018,
- так эти пароли ещё и не менялись больше года.
Что ещё. Многие так и не поняли, почему была указана такая странная сумма в $5800, почему не $6000 ровно, почему сразу не миллион долларов? — «По его мнению, лишь официальная стоимость аккаунтов превышает $5800».
Ответ на этот вопрос был с самого начала на Хабре, его попросту не заметили:
(для увеличения изображения откройте его в новой вкладке)
Ключевое здесь "откройте его в новой вкладке" — при нажатии на изображение (прямая ссылка) открывалась полная картинка, где также видны другие колонки: Last modified, Paid till (date), Need till (date), Project (as in ASUP), Type of payment, Cost, Currency.
Путём простого суммирования цифр из колонки «Cost» мной и была получена цифра в $5800 — это официальная (а не придуманная мной) стоимость аккаунтов в перечисленных сервисах, которую я указал в отчёте на Bugcrowd.
Я не просил и не требовал ни эту сумму, ни любую другую, как тогда соврал Soultan, а сравнил указанное их вознаграждение в $50 с минимальным возможным ущербом — попросту говоря, с потерей доступа к сервисам, на покупку которых они потратили >$5800.
Далее.
Если кому интересно, не так давно программа BugBounty Киевстара была закрыта полностью (не приватный режим, а именно закрыта), а сотрудник Soultan, который отвечал здесь на комментарии, не так давно ушёл из Киевстара.
Кстати, в комментариях под его прощальной записью об уходе из компании ему пишет «В добрый путь, Виталий!» сотрудница, которая и отправила тот злосчастный e-mail. Такие дела.
Выделенную выше информацию я дописал небольшим апдейтом к первоначальному посту. Я не злорадствую по этому поводу. Они совершили тогда ошибку — возможно, расплачиваются.
pyrk2142 в комментариях спросил:
Это достаточно неожиданно. Получается, что информация здесь больше не актуальна?
И сейчас я могу ответить, что да, информация по Bug Bounty Киевстара неактуальна: я нашёл возможность получать информацию о покупках людей, проходящих через платёжные сервисы Киевстара, даже если те не являются его клиентами. Я дал компании второй шанс — но она им не воспользовалась.
Итак, инфо о покупках, проходящих через сервисы Киевстара, по картам даже не_клиентов последнего.
Во время тестирования приложения одной компании я обнаружил, что Киевстар выступает как платёжный провайдер в рамках сотрудничества с Visa QR Payments — mVisa — оплаты с помощью QR-кода идут через qrpayments.kyivstar.ua.
Это транзакции клиентов в таких торговых точках, как, например:
- Crema Caffe, Kyiv,
- Smachno, Kyiv,
- Third Floor Cafe, Kyiv — первые и чаще всего операции были именно здесь. По всей видимости, это кафе на 3-м этаже в офисе Киевстара, где и начали тестирование QR-оплат;
- Auchan, Kyev,
- Auchan, Lviv,
- Auchan, Dnipropetrovska — сеть гипермаркетов Ашан (Украина);
- mVisa merchant;
- GIVC, Kiev — ГИВЦ, Главный информационно-вычислительный центр, Киев. Здесь происходят начисления и расчёты за большинство коммунальных платежей жителей Киева;
- GERC, Odesa — ГЕРЦ, Городской единый расчётный центр, Одесса. Аналогично ГИВЦ выше, только охват ещё больше: сайт предназначен не только для населения Одессы, но и для таких городов, как: Киев, Белгород-Днестровский, Рени, Черноморск и Южный;
- и пр.
Пример полученных данных:
{"Id":1305 Date:"2018-10-05T15:15:42.3921295" State:0 Amount:-1278.8100 TipsAmount:0.0000 Currency:"UAH" MerchantName:"Auchan" MerchantCity:"Lviv" MerchantId:"4109499405597549" ApprovalCode:"516634" ReferenceNumber:"" CardNumber:"5375XXXXXXXX3858"}
{"Id":1308 Date:"2018-10-06T12:43:31.1179667" State:3 Amount:-4192.9700 TipsAmount:0.0000 Currency:"UAH" MerchantName:"Auchan" MerchantCity:"Kyev" MerchantId:"4109494835704666" ApprovalCode:"" ReferenceNumber:"827991150697" CardNumber:"4824XXXXXXXX6937"}
{"Id":1702 Date:"2018-12-06T18:40:02.657213" State:3 Amount:-81.0000 TipsAmount:0.0000 Currency:"UAH" MerchantName:"GIVC" MerchantCity:"Kiev" MerchantId:"4109499632222754" ApprovalCode:"605231" ReferenceNumber:"834091189417" CardNumber:"5168XXXXXXXX9997"}
Сервис отвечал на запросы только с корректными «Authorization» и «Map-AuthToken», последний из которых содержал закодированные в Base64
{"alg":"RS256","kid":"33E283272B0433E283281FF404CA6F031E28320","typ":"JWT"}{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone":"0800300466", "http://schemas.lime-systems.com/identity/claims/authId":"1199333", "http://schemas.lime-systems.com/identity/claims/userId":"25046", "http://schemas.lime-systems.com/identity/claims/deviceId":"12342", "nbf":1541370000, "exp":1541380001, "iat":1541390001, "iss":"http://localhost", "aud":"http://localhost"}
и другие данные.Но несмотря на необходимость наличия в запросе корректных параметров, указанных выше, единожды получив Map-AuthToken, дальше можно было выполнять GET-запросы на адрес вида https://qrpayments.kyivstar.ua/map/api/consumers/ множество раз.
И хотя всего за период с момента запуска, 16.04.2018, было осуществлено не так много операций (~2000 шт.) и сами полученные данные некритичны, такая ситуация настораживает:
даже если вы не пользуетесь Киевстаром, а просто платите в магазине A
В сфере платёжных карт есть подходящая по описанию ситуация: единая точка компрометации — это может быть терминал, банкомат, торговое предприятие, эквайер, процессинговый центр, через который были хищения с разных карт разных клиентов.
Перенося ситуацию на данного мобильного оператора: взломав один сервис, вы можете получить информацию из нескольких.
Перед публикацией этого материала я дал Киевстару второй шанс — отправил три письма по адресу bounty@kyivstar.net, который указан у них на специальной странице: 17-го декабря, 20-го декабря и 27-го декабря, всё рабочие дни.
Отправлял, на всякий случай, с ящика, который не был указан в ситуации с утекшими паролями. Письма получены, но никакой обратной связи, даже автоматического ответа, не последовало.
Как вы понимаете, уязвимость не прикрыта, поэтому больше подробностей я указать не могу. Впрочем, всё и так понятно.
Комментарии (32)
powerman
09.01.2019 10:53+4Бизнес понимает только один язык: прибыли и убытки. Поэтому, если нам хочется повышать безопасность используемых устройств, приложений и сервисов, необходимо разговаривать с бизнесом на понятном ему языке: если на официальном сайте не указан способ связи по вопросам безопасности (пусть даже это обычный support@) либо в ответ на сообщение по этому каналу связи не последовало адекватной реакции (подтверждения получения в течении нескольких рабочих дней и исправления проблемы в течении месяца) — необходимо в обязательном порядке делать full disclosure, вне зависимости от последствий для бизнеса (а для защиты от последствий для исследователя публиковать анонимно).
neuotq
09.01.2019 14:25+3Согласен. Тут даже не в наказании дело. Компания не реагирует. Уязвимость есть, опасность для пользователей есть. Значит предупредить пользователей о том что есть дыра и есть шанс утечки ваших данных — благое дело.
IGR2014
09.01.2019 14:38С Киевстаром мне всё стало понятно когда новый глава фактически обвинил самих пользователей в упавшем качестве 3G-связи. Мотивация была в духе «Вы стали чаще пользоваться, поэтому так плохо и работает», только в более аккуратной и завуалированной форме…
site6893
09.01.2019 16:49а какие есть альтернативы по совокупности факторов, (качество-цена-покрытие-скорость доступа)?
DarkFatal1ty
09.01.2019 18:54А бог его знает, все операторы одинаково Г. И альтернативы нет.
В Одессе с сетью особых траблов нет, как и у Киева, так и у Водафона.
В Киеве задница, ибо у обоих можешь стоять — у тебя 4G, отойдешь на метр — у тебя EDGE.
Life я не рассматриваю, ибо у меня некому с него звонить.
Тримоб в стагнации, вечный роуминг, уже старый 3G с так себе покрытием.
Интертелеком — тупик и специфические устройства.
Киевстар раздражает меня своей тарификацией и доп. услугами, которые просто не работают (я не знаю, за что с меня снимают деньги за 30 минут городских номеров, если позвонить нельзя). Водафон в плане оплаты мне нравится больше, там все четко и прозрачно. Покрытие в черте города ± одинаковое, Киевстар живет чуть дольше.
Альтернативы нет, приходится жрать кактус. А выкинуть симки и не использовать телефон — тоже не вариант. Поэтому, я сижу на Киевстаре с 2004 года, а Водафон я купил недавно только ради красивого номера и «безопасного» контрактного номера для разных чувствительных вещей.
Я, честно говоря, не удивлен, что Big Bounty свернут, а тогда дали только 50 долларов этому парню. Это особенность бизнеса на нашем с Вами постсовестском пространстве, и ничего нового. Если качество услуг хромает, и построить базовую станцию это нонсенс и событие века, о каких доп. вещах, как Big Bounty, может идти речь?
А особенно я люблю поддержку Киевстара — коллцентра нет, робот на сайте из 5 строчек кода, и Мой Киевстар напоминающий китайское общежитие где не ясно как отключить грабеж.
Тарифная линейка на 4 недели это отдельная история. А еще, зачем мне платить 60+ грн за 2 ГБ трафика( 2,5+ доллара), если, например, у моей бабушки старая кнопочная Моторолла, и она не использует интернет?
Эх. Жаль, что частоты стоят миллиарды гривен и своего оператора нельзя просто взять и сделать.
xXxSPYxXx
09.01.2019 19:48А я использую Домашний Интернет 100 Мбит + безлимит на телефоне за 155грн. Получается по 77,5 за каждую услугу.
seri0shka
09.01.2019 23:41А еще, зачем мне платить 60+ грн за 2 ГБ трафика( 2,5+ доллара), если, например, у моей бабушки старая кнопочная Моторолла, и она не использует интернет?
Мы проанализировали то, как часто вы звоните в сети Киевстар и на другие мобильные, а также, сколько мегабайт мобильного интернета обычно используете. Рекомендуем вам тарифные планы, которые идеально отвечают вашим потребностям:
За это удовольствие мне предлагают платить 150 грн в месяц.
Тариф «Киевстар Безлим Видео»
Качественный 3G- 9000 МБ
Звонки в сети Киевстар- Безлим
Звонки на другие сети-? мин/мес
SMS- 150 SMS
А вы, суки, не проанализировали, что в моём телефоне интернета нет вообще (второй телефон), и звонил я за год максимум 50 минут? Даже при том, что мобильный интернет мне нужен много раз за день, мне на смартфоне хватает 100 МБ в месяц с головой. В результате две киевстаровские из трёх моих симкарт «заработали» за прошедший год максимум 2 у.е., а остальные деньги я плачу менее жадным операторам (полгода одному, потом полгода другому, так как первый «зажрался»).
Понимаю, что немного не в тему, но не могу пройти мимо и не плюнуть в морду Киевстару на прощание.site6893
10.01.2019 10:57проанализировали? ЛОЛ, они за каждый доллар жмутся, чуваку вон всего 50уе заплатили за серьезные вещи, и то после скандала. Откуда у них деньги на «проанализировали»? Для этого топам и владельцам киевстара надо прау яхт продать, а они на это не пойдут)
Massacre
10.01.2019 01:53… зато у Интертелекома действительно непадучий инет (в Киеве), можно резерв поднимать, хоть и IP серый выдают, и до 2мбит в среднем (у меня модем ещё Rev. A).
А в тарифной линейке КС, после этой хрени со сменой тарифных планов, сейчас надо брать Комфорт с опцией «плати, когда используешь», и работать в режиме «только входящие».
Javian
09.01.2019 18:34Это даёт ощущение, что компании приходит конец и в скорее её поглотить кто-то ещё.
flickrs
09.01.2019 19:08Билайн под вывеской «Киевстар»…
Sungmaster
09.01.2019 21:25+1Хотите интересный факт? Киевстар выкупил украинский Beeline в 2010 году, и он вместе с российским Билайном пренадлежат Veon Ltd. (до 2017 года VimpelCom Ltd.)
ScoutUa
09.01.2019 20:01Зная жлобство этого оператора — выплата 50$ это уже событие вселенских масштабов для компании… Они никогда не выполняли обещанное. Из последнего — продавали за дикие деньги «безлимиты» с обещанием что никто не будет шейпить их. Прошло пару месяцев и закрутили по скорости до 1 мбит…
КС сейчас взял направление на «повышение прибыли», а в итоге имеет отток АБ — как мобильной, так и проводного интернета. Инфляция по тарифам с 1 января составила около 100%, а «невыгодные» тарифы по их мнению закрывают с февраля — те, на которых нет ежедневной обдираловки
Загнивать он начал еще после слияния с билайном
Жаль только что АБ ходит по кругу, так как альтернатив практически нет. Вся тройка в сговоре сделала тарифы на 28 дней, но начал именно КС. За что и получает заслуженные лучи «добра» от всех юзеров
grayich
09.01.2019 20:09С операторами вообще весело, Киевстар 15-го закрывает кучу тарифов, оставляет по факту только 3 тарифа по предоплате и при этом ни одного безабонплатного. Впрочем тарифов без абонплаты больше не предоставляет ни один оператор. Те кто телефоном пользуются редко или используют только для интернет и регистрации на интернет ресурсах, оказываются за бортом. В России та же ситуация?
woooody
09.01.2019 22:18Есть, например на мегафоне. Единственное ограничение — надо чтоб был хоть какой-то расход раз в 2-3 месяца, иначе начинают снимать плату за неиспользование номера (ежедневную и существенную).
Правда стоимость минут и особенно интернета там космическая, по сравнению с Украиной.
Massacre
10.01.2019 02:01Вообще-то на Комфорт можно подключить опцию без абонплаты, 477*68
grayich
10.01.2019 15:43Вообще-то нет. На странице описания этого тарифа написано:
С 15.01.19 по 15.02.19 этот тариф закрывается. Пользователи могут изменить свой тариф самостоятельно или будут переведены автоматически на тарифы, которые подобраны согласно потребностей абонента.
Massacre
10.01.2019 18:48Не тот Комфорт. Новый, который 3грн/день. kyivstar.ua/uk/mm/tariffs/arhive/comfortable red-forum.com/showthread.php?t=31456
grayich
11.01.2019 11:05Благодарю, удалось, правда через саппорт и много часов мороки, через 477*68 досих пор нет подобных пунктов.
Интересно, откуда вообще про эту опцию взялась информация, ведь на официальном сайте ни слова не нашёл, поддержка в чате тоже не сообщила когда выпытывал у них информацию о тарифах.Massacre
11.01.2019 19:43С ред форума:
Только что узнавал информацию об опции «Плати когда пользуешся» для этого тарифа у оператора Facebook — оператор написал, что опцию могут подключить ВСЕ пользователи тарифа «Киевстар Комфорт», и ещё передал заявку разработчикам, чтобы на странице тарифа внесли информацию об этой опции. Подключается опция звонком на 477*68. Добавляю эту информацию в шапку темы. Также, кто самостоятельно сможет подключить данную опцию на номере с не закрывающимся тарифом — пишем в теме.
nidalee
10.01.2019 10:46В России пока не так, но тут в любом случае хорошо развита продажа «закрытых» тарифов, так что не пропадем, я думаю.
Kalashmatik
09.01.2019 20:10Билайн и в РФ полное дно, не удивлен, что и там такая же история…
ScoutUa
11.01.2019 11:13В Украине Билайн себя хорошо зарекомендовал за те несколько лет, пока был самостоятельной конторой. Тарифы были очень удобными. Один только «29» отожрал большую часть АБ. При чем условия тарифа были такими, что все плюшки (звонки в сети, смс и прочее) начислялась только за пополнение счета, что позволяло всегда иметь на счету приличную сумму и звонить куда угодно не задумываясь о минутах
Сейчас же все тарифы обязательно «сжигают» ту сумму, которая указана в условиях
Качество связи и поддержка тоже на уровне.
Еще Билайн активно занимался домашним интернетом, от чего сфинктеры сжимались не только у мобильных операторов, а и у провайдеров
Ну а после слияния с КС начался бардак. Там особо не разберешь уже кто дергает за ниточки этого монстра
KirEv
10.01.2019 04:29-1последние как не года два, то год — так точно, киевстар медленно но уверено превращается в свинский сервис… я абонент лет 10 наверное, ну и домашний киевстар… и вот года полтора назад начались глюки с связью… потом интернет мобильный тупит часто и жудко…
а вообще, они никогда не отличались особой лояльностью, может потому что одни из крупнейших…
… не та страна у нас… в цивилизованном мире достаточно 1 судового позова чтобы такое на миллионы компенсировать, а у нас порядошный поступок не то что поощрить должным образом отказываются (кроме того официальная программа есть), так и вовсе виноватым сделают…
страна дураков… все верно выше сказано, бизнес понимает язык прибыли\убытка, особенно в нашей стране…
qwert_ukg
10.01.2019 07:29Ty prosto poluchil ssylku na shred doc i hochesh 3k $?
Superl3n1n
10.01.2019 09:00Вы скорее всего пропустили первую часть. Там автор поставил опросник, во сколько сообщество оценивает данный косяк. В текущем посте скриншот этого голосования. Автор же нигде не озвучивал сумму, которую он хочет. Иначе это можно трактовать как вымогательство, а это уже статья.
Gorodnya Автор
10.01.2019 23:00+1Киевстар не снизошёл сюда, но дал комментарии в статье на AIN.UA:
За время действия программы Bug Bounty мы получили ряд идей и предложений от независимых экспертов, что помогло нам улучшить работу сервисов и мобильных приложений. Компания реализовала все цели, которые планировала достичь в этом проекте. В данное время потребности в продолжении проекта нет, однако мы всегда можем вернуться к этому вопросу, если такая необходимость появится.
И ЛИГА.net:
В ходе проекта мы получили ряд идей и предложений от независимых экспертов, что позволило улучшить работу отдельных сервисов и мобильных приложений. Авторы предложений, которые соответствовали правилам программы, получили вознаграждения
И вот ещё:Наличие же заявленной хакером уязвимости в Киевстаре отрицают. Говорят, служба кибербезопасности оператора дополнительно проверила работу всех систем компании и «подтвердила, что данные клиентов в полной безопасности».
chupasaurus