Почему в Украине нет белых хакеров или история взлома Киевстар

    Вот как после недавнего поступка Киевстара можно говорить об этом славном операторе связи и провайдере интернета, что он ценит и уважает труд специалистов?

    image

    Один хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.

    Технические подробности


    Один из шагов в процедуре привязки телефона в личный кабинет не корректно передавал параметры успешного прохождения этапа, в следствии чего шаг с смс-подверждением можно было пропустить.

    image

    Как вы думаете, какая сумма на балансе у среднего абонента Киевстар? 5-10 грн? А у тысячи абонентов это уже до 10 000 грн. Не говоря уже об элементарной тайне переписки и СМС с кодами входа интернет-банкинга.

    Это критическая уязвимость, воспользовавшись которой, хакер-злоумышленник мог бы заполучить не малые деньги, а компания Киевстар потерять и деньги и репутацию.

    Но к счастью, информация не попала в плохие руки, хакер оказался предельно этичным и повёл себя как исследователь, немедленно сообщив организации об уязвимости, хоть ему и было тяжело доверить столь деликатную информацию даже оператору, работающего в самой компании.

    И знаете, Киевстар, быстро залатав дыру в своей безопасности, оценил данную уязвимость в 3 бесплатных месяца пользования интернетом, присудив именно такую награду исследователю.

    Я понимаю, что с ничего платить деньги никто не рассчитывал и в бюджет это не закладывалось, но это может сыграть злую шутку с компанией в будущем, ведь некоторые IT-специалисты уже выразили своё сомнение по поводу справедливости вознаграждения.

    image

    И в правду, другой исследователь трижды подумает, а не выгодней ли будет, даже не пользоваться уязвимостью — это бы было незаконно, а продать эту информацию другим компаниям за приличные деньги, те кто разбирается в этом и понимают цену.

    А данный случай лишь иной раз объясняет наличие большого количества хакеров-злоумышленников, чем славится Украина, где не создаются условия, когда хакеру выгодно переходить на белую сторону, становясь исследователем, а компании все так же борятся и страдают, а не уважают и поощряют.

    Автор в .

    UPD: Ответ руководителя в Киевстар (источник непроверен)

    Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.

    Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.

    Мне кажется сейчас как нельзя кстати пригласить Киевстар поучаствовать в качестве спонсора на хакерской конференции HackIT Ukraine, чтобы показать что они серьезно относятся к уязвимостям.
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 69
    • +6
      Кого-то взломали?
      • +5
        Видимо я опубликовал черновик, извиняюсь, уже исправил
        • +2
          Да ничего, пятница же. Да и понравилось всем, судя по комментариям)
      • +12
        А давайте поднимем этот пост в топ?
        • +5
          Отличный пост!
          • +5
            Всем плюсиков в этом чате
            • +4
              Ночной хабр такой ночной.
              • +5
                Пост идеален.
                Автор пиши еще!
                • +4
                  Минимализм в тренде
                  • +5
                    Вообще-то, правильно будет IDDQD
                    • +5
                      Я считаю статья не полноценная — в частности в ней озвучены не все ASCII символы. Жду продолжения.

                      upd.

                      Упс… случайно под вашим написал.
                    • +6
                      serrwrtet
                      • +13
                        По моим наблюдениям — этот пост можно назвать одним из самых полезных и содержательных постов на ГТ в последнее время. Кратко и по делу, ничего лишнего.
                        • +3
                          Золотые слова!
                          • +3
                            Пятница же)
                            • +2
                              ждем когда в вк бот запостит)
                              • +2
                                Дваждую
                                • +2
                                  Одна из лучших публикаций автора!
                                  • +1
                                    Хм, а ведь и правда.
                                    • +1
                                      Предлагаю считать это тостом!
                                      • +1
                                        Скайнет?
                                        • +1
                                          Есть еще добрые, бескорыстные люди на белом свете!
                                          • +2
                                            Я как-то испугался что сейчас будет про то как судить хакера пошли.
                                            • +2
                                              Кстати неплохая программа поощрения поиска багов у Приватбанка. Из четырёх обращений — за три мне выплатили вознаграждения и пофиксили, голд-карту дали с бесплатным обслуживанием. Для общения с безопасниками есть отдельный канал связи. В общем, могут люди, когда хотят.
                                              • +4
                                                голд-карту дали с бесплатным обслуживанием

                                                Это где-то 1000-1500р в год. Так себе вознаграждение.
                                                • +3
                                                  Это в дополнение к одноразовой выплате за каждый баг.
                                                  • +2
                                                    Написано же «за три мне выплатили вознаграждения» — видимо не только карту дали.
                                                  • +4
                                                    Приватбанк раздает Gold карты бесплатно, кому не попадя.
                                                    Действительно очень сомнительное вознаграждение.
                                                    • +1
                                                      Не «дали бесплатно», а «обслуживание бесплатно». Это вроде 20 грн в месяц. Мелочь, а приятно.
                                                      • –1
                                                        0,8$ x12 = 9,6$ за баг? Смешно… Уж лучше б грамоту дали…
                                                        • +1
                                                          Не на год, а навсегда. И не за баг, а в дополнение к основной выплате за баг (см. расценки на официальном сайте).
                                                  • +2
                                                    Я бы не сказал, что такая проблема существует только в отдельной стране. Игнорирование вопросов безопасности — глобальная проблема. Лично я считаю, что есть две причины:

                                                    1) Отсутствие нормальной оценки рисков в сфере ИБ. Для многих людей вся безопасность ограничивается HTTPS и использованием md5($password).

                                                    2) Нереально низкое число взломов. Серьезно, их настолько мало, что за последние три года я знаю только про ОДИН взлом аккаунта среди всех моих знакомых, который совершался с применением уязвимостей.
                                                    В прошлом году я нашел CSRF прямо в форме перевода денег в одном сервисе электронных денег. Почему за время его существования никто до меня не нашел это и не использовал для кражи?
                                                    В том же году на одном хостинге я нашел уязвимость, которая позволяла получить доступ к чужим данным, просто заменив номер аккаунта в адресной строке. Почему этот хостинг дожил до того момента?
                                                    В крупной российской CRM есть куча CSRF, причем они есть и на форме смены почты и пароля. Им года два-три минимум. Почему ими никто не воспользовался для массовой кражи данных?

                                                    Честно, я не знаю ответа на эти вопросы. Либо такое будет продолжаться, либо нас ждет волна взломов всего, которая наконец-то что-то изменит.
                                                    • +1
                                                      Ну так это вы молодец, вознаграждение за все получили?
                                                      • +1
                                                        Платежный сервис выплатил вознаграждение, хостинг ответил что-то невнятное (из серии «Мы обязательно передадим разработчику»), от CRM получил чудесный ответ «Перенаправлено компетентному специалисту, если заинтересуется, ответит». Один нормальный результат из трех, неплохо.
                                                    • +3
                                                      Говорят, тут плюсики раздают? Остались еще свободные? А вообще как только появился МТС Бонус, мы нашли багу, позволяющую пригласить друга несколько раз. Соответственно, мы приглашали друг друга до тех пор, пока не накопили баллы на что-то материальное. К сожалению, не помню что. В тот же день мы сообщили по email об этой дырке. Через 3 дня дыру закрыли, нам даже не ответили. А могли бы что-то хорошее получить (подписку годовую на какой-то хороший журнал точно)
                                                      • +2
                                                        Хотел Вам поставить в карму плюсик, но так как у Вас нет сейчас открытых публикаций и карма уже превысила 4, это в данный момент невозможно.
                                                        • +2
                                                          Ничего, тема для поста уже есть. Очень странно, что я могу только минуса раздавать в карму, а + не могу.
                                                      • +1
                                                        Этот хакер ещё в Приват-Банк об найденных уязвимостях не сообщал. Эти бы его вообще засудили.
                                                        • +1
                                                          Сообщал, платили, в суд не подавали.
                                                          • +1
                                                            Написали бы тогда статейку, рассказали общественности что взаимодействие с Приватом бывает не только негативным…
                                                            • +1
                                                              плюсую за статейку
                                                        • +2
                                                          Киевстар такой не один. Моя девушка, которая работает тестировщиком, обнаружила у Lux Express (автобусный перевозчик) возможность покупать билеты с максимальной скидкой на любой направление, даже если оснований для скидки фактически нет. Сообщила перевозчику, тот запросил дополнительную информацию, но сказасть спасибо либо не пожелал, либо поленился, либо просто забыл.
                                                          Вдохновлялась она, если можно так сказать, рассказанным на одной тест конференции аналогичным примером, но про British Airways. Авиакомпания за найденную уязвимость подарила билеты туда и обратно всей семье нашедшего.
                                                          • +3
                                                            Киевстар читает и молчит? или им карму слили?
                                                            • –13
                                                              На Украине
                                                              • –1
                                                                Что бы знать как правильно почитайте лучше Пушкина «Полтава» (ПЕСНЬ ТРЕТИЯ — http://pushkin.aha.ru/TEXT/poems/polt.htm ). Или Розенталя: Справочник по правописанию и литературной правке.
                                                                • –2
                                                                  Ну на классиков не стоит ссылаться, они пишут как удобнее. Тот же Тарас Шевченко:
                                                                  «Як умру, то поховайте
                                                                  Мене на могилі
                                                                  Серед степу широкого
                                                                  На Вкраїні милій,»
                                                                  Т.к. допустимы оба варианта, то мне кажется стоит придерживаться варианта «как благозвучнее в текущем контексте».
                                                                  • –3
                                                                    У вас там что украинизация русского языка уже началась?!!! :)
                                                                    • 0
                                                                      Т.е.? Где «у вас» и что под украинизацией вы имеете ввиду?
                                                                  • –2
                                                                    То есть правильно писать «Песнь третия» и «В Украйну» (с «й» как в оригинале)?

                                                                    По поводу Розенталя есть такой комментарий
                                                                    Да, мы знаем, что в последних изданиях «Справочника по правописанию и литературной правке» Розенталя вариант «в Украине» зафиксирован как нормативный. Но представляется, что это позиция не самого Розенталя, а редакторов, переиздававших справочник уже после смерти Дитмара Эльяшевича и внесших свои дополнения. Претензий к справочнику нет, но… без примеси политики, «Справочное бюро» предпочитает консервативную норму при употреблении названия суверенного государства – «на Украине».
                                                                  • +5
                                                                    В русском языке нет правила, указывающего писать «в Украине» или «на Украине», поэтому допускаются оба варианта. Право выбора остаётся за автором.

                                                                    В Википедии одно время шла война между сторонниками «в» и «на». Поскольку это чистая вкусовщина, приводящая к бесконечным правкам туда-сюда, распатрулированию статей и засорению списков наблюдений, было принято решение: в свежесоздаваемых текстах допускаются оба варианта; можно исправлять «в» на «на» (исключительно потому, что «на» чаще встречается в русскоязычных источниках); обратно исправлять нельзя.

                                                                    Но, повторюсь, допускаются оба варианта, так что нет причин спорить, какой кошернее.
                                                                    • +1
                                                                      Я в этой войне не участвовал и даже не наблюдал специально, но со стороны сторонники варианта «в Украине» мне казались более агрессивными
                                                                      Вообще, даже если правило и обязывает писать «в %country_name%», то из любого правда бывают исключения
                                                                      И я, кроме Украины, навскидку могу назвать ещё Кубу
                                                                      • –1
                                                                        Видимо не казались, а действительно более агрессивные
                                                                        Комментарий заминусовали — ладно, мало ли сколько народу не согласны со мной
                                                                        В карму GT нагадили — ну ладно, бывает
                                                                        Но зачем сливать карму в хабровском профиле? Для профилактики что ли?

                                                                        Извините, это уже не просто агрессивность, это неадекватная агрессивность,
                                                                        • +1
                                                                          сливают карму тем, кто на эту самую карму мастурбирует как подросток. Интересные и полезные статьи это публиковать не мешает
                                                                          • –2
                                                                            Извините, что за бред?
                                                                            Прямо сидят некоторые товарищи и смотрят, кто же там себе в профиль заглядывал карму проверить — надо их срочно в минуса загнать! Штатные модераторы, видимо.
                                                                            Может ещё про волосатые ладони расскажете?

                                                                            И при чём здесь интересные и полезные статьи? Я где-то писал, что статья УГ? Я высказал своё мнение по поводу «в/на Украине», оказавшееся сильно непопулярным.
                                                                            • +3
                                                                              я вам ответил по поводу кармы — фрустрация на тему ±, лайков/дизлайков это детский сад. Что ж поделать если вы пишете глупости или то, что не нравится другим. Это не помешает вам писать статьи
                                                                        • +1
                                                                          навскидку могу назвать ещё Кубу
                                                                          острова очень часто используют на используют. Навскидку: на Гаити, на Мадагаскар, на Ямайку, на Кипр, на Барбадос. Но при этом: в Японию, в Новую Зеландию, в Исладнию, в Ирландию.
                                                                          • 0
                                                                            Куба вообще-то не только остров, но и государство (как и Гаити, и Ямайка и т.д.), но никто не меняет «на» на «в», когда говорят про государство, а не про остров.

                                                                            Да, совпадение названий острова и государства — причина использования «на», но кто сказал, что это может быть единственной причиной? Почему Украина попала в исключения — не могу сказать, не историк. Но видимо, причина была, раз так все говорят.
                                                                            • 0
                                                                              Кстати, ещё вариант — «на Руси»
                                                                              При том что Русь — не остров, не территория, а вполне себе государство, пусть и из прошлого
                                                                              Почему «на»? Пусть историки ответят, так сложилось
                                                                              Можно, конечно, докопаться, типа полностью «в Киевской Руси», но сейчас Россия и Российская Федерация — однозначные названия (в конституции прямо так и указано)
                                                                          • 0
                                                                            В современном языке как-раз есть правило, оно ясно определено. Не могу вставить картинкой.
                                                                            std3.ru/c3/9a/1452498890-c39a3fdf97d1d6b613a7f23c8a10c7c4.jpeg
                                                                            • +1
                                                                              Гляньте сюда — http://andy-shev.livejournal.com/150364.html
                                                                              Чел пишет — «Розенталь не писал примеры типа «в Украину» в своих книгах, всё выдумано после его смерти»

                                                                              Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
                                                                              И действительно, никакой «в Украине» там нет

                                                                              • 0
                                                                                Это что, шутка такая про 1989 год?
                                                                                Во-вторых, книга под редакцией Голуба, с соответственными корректировками, учитывающие геополитические изменения.
                                                                                • 0
                                                                                  Не понял, где вы увидели шутку
                                                                                  Одно из предыдущих изданий, НЕ учитывающее сегодняшние геополитические изменения

                                                                                  А зачем вообще зачем геополитика в правилах языка?
                                                                                  Может, как в США, запретим слово «негр»?
                                                                                  Может, к математике тоже политику примешаем?
                                                                                  • 0
                                                                                    Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
                                                                                    И действительно, никакой «в Украине» там нет

                                                                                    Нет, т. к. Украина обрела независимость в 1991 году. На карте мира появилось новое государство. С этим учётом следует говорить и писать «в Украине».
                                                                                    • +3
                                                                                      До распада СССР никто не говорил «на Казахстане», «на Латвии», «на Грузии» и т.д., хотя тогда они не были самостоятельными государствами

                                                                                      В/на не только для государств неоднозначное, для других типов территорий тоже — сравните, например, «на Алтае» и «в Сибири»
                                                                        • +10
                                                                          Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.

                                                                          Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
                                                                          • +2
                                                                            А стык в эстонию когда почините?
                                                                            Писал на geo@ несколько раз — полный ингор.

                                                                            Нашел занимательный баг в маршрутизации на juniper-ах вместе с межународними noc-ами.
                                                                          • +2
                                                                            Пост добра?
                                                                            • 0
                                                                              Отличный пост!

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.