Как стать автором
Обновить

Почему в Украине нет белых хакеров или история взлома Киевстар

Время на прочтение 2 мин
Количество просмотров 40K
Вот как после недавнего поступка Киевстара можно говорить об этом славном операторе связи и провайдере интернета, что он ценит и уважает труд специалистов?

image

Один хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.

Технические подробности


Один из шагов в процедуре привязки телефона в личный кабинет не корректно передавал параметры успешного прохождения этапа, в следствии чего шаг с смс-подверждением можно было пропустить.

image

Как вы думаете, какая сумма на балансе у среднего абонента Киевстар? 5-10 грн? А у тысячи абонентов это уже до 10 000 грн. Не говоря уже об элементарной тайне переписки и СМС с кодами входа интернет-банкинга.

Это критическая уязвимость, воспользовавшись которой, хакер-злоумышленник мог бы заполучить не малые деньги, а компания Киевстар потерять и деньги и репутацию.

Но к счастью, информация не попала в плохие руки, хакер оказался предельно этичным и повёл себя как исследователь, немедленно сообщив организации об уязвимости, хоть ему и было тяжело доверить столь деликатную информацию даже оператору, работающего в самой компании.

И знаете, Киевстар, быстро залатав дыру в своей безопасности, оценил данную уязвимость в 3 бесплатных месяца пользования интернетом, присудив именно такую награду исследователю.

Я понимаю, что с ничего платить деньги никто не рассчитывал и в бюджет это не закладывалось, но это может сыграть злую шутку с компанией в будущем, ведь некоторые IT-специалисты уже выразили своё сомнение по поводу справедливости вознаграждения.

image

И в правду, другой исследователь трижды подумает, а не выгодней ли будет, даже не пользоваться уязвимостью — это бы было незаконно, а продать эту информацию другим компаниям за приличные деньги, те кто разбирается в этом и понимают цену.

А данный случай лишь иной раз объясняет наличие большого количества хакеров-злоумышленников, чем славится Украина, где не создаются условия, когда хакеру выгодно переходить на белую сторону, становясь исследователем, а компании все так же борятся и страдают, а не уважают и поощряют.

Автор в .

UPD: Ответ руководителя в Киевстар (источник непроверен)

Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.

Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.

Мне кажется сейчас как нельзя кстати пригласить Киевстар поучаствовать в качестве спонсора на хакерской конференции HackIT Ukraine, чтобы показать что они серьезно относятся к уязвимостям.
Теги:
Хабы:
+49
Комментарии 70
Комментарии Комментарии 70

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн