По условиям Bug Crowd не имеем права выкладывать скрины переписки с исследователем — запросили у них разрешение.
Реплика приведенная выше и развитие диалога четко дает понять нам про намерение исследователя выложить информацию об инциденте в публичный доступ если не будет выплачено вознаграждение превышающее предложенные $50. Судя по тому что мы отказались выплачивать большую сумму и пост опубликован наша трактовка верна.
Добрый день. Работаю директором направления Digital в Киевстар и попробую описать свою точку зрения на сложившуюся ситуацию.
Когда два года назад возник прецедент с бета версией Мой Киевстар я дал свое слово сообществу Habr что Киевстар запустит BugBounty программу, чтобы серчеры пытались найти уязвимости в системах компании и получали вознаграждение за свои таланты. Для реализации программы мы выбрали платформу Bugcrowd и в прошлом году запустили
BugBounty в закрытом режиме — искать уязвимости приглашались только серчеры рекомендованные Bug Crowd.
В рамках программы компания предлагает найти уязвимости в системе самообслуживания Мой Киевстар, на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию. Суть Bug Bounty программы заключается в поиске ошибок (багов), особенно тех, которые касаются эксплойтов и уязвимостей. Независимый исследователь уязвимостей (= White Hat Hacker), найдя и подтвердив ошибку, получает вознаграждение.
Процесс поиска уязвимостей, обсуждения, устранения проблемы и выплаты вознаграждения регламентирован основными принципами проведения BugBounty, а также брифом компании, которая запускает программу. Регистрируясь в программе, исследователи автоматически принимают условия участия в ней, а также несут ответственность за соблюдения правил платформы BugCrowd. В рамках проведения программы Киевстар получает много сообщений, но только некоторые из них остаются в работе и могут быть вознаграждены согласно условиям брифа.
Весной этого года мы перевели программу в public чтобы больше серчеров могли попробовать свои силы в поиске уязвимостей. За указанный период исследователям было выплачено $27 155. Наивысшие разовые вознаграждения доходили до $1500.
Теперь ближе к конкретному инциденту.
Несколько недель назад мы получили от серчера сообщение об утечке административной информации. Исследователь получил доступ к файлу с перечнем некоторых онлайн сервисов, которые используются в Digital процессах компании.
В диалоге серчер сообщил что перечень получил по электронной почте непосредственно от сотрудника компании. Служебное расследование выявило что сотрудник который занимался ведением программы в результате ошибки автозаполнения в почтовом клиенте отправил письмо с сенсетив информацией на имейл одного из исследователей. Понятно что сам факт хранения паролей в таком виде недопустим и предмет отдельного разбирательства. Сотрудник был отстранен от дел.
Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения за сенсетив информацию, но описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании. Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар.
Единственная статья с широкой трактовкой в регламенте программы, к которой можно отнести данный прецедент подразумевает поощерительное вознаграждение в размере $50, что и было предложено серчеру в дополнение к искренней благоданости.
В коментариях было мнение что мол «могли договориться по человечески». Киевстар компания с крайне строгим отношением к Compliance — мы действительно ведем бизнес честно и не отступаем от принципов под давлением. Поскольку не смотря на исчерпывающие комментарии с нашей стороны, исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com компанией данное поведение может расцениваться как вымогательство.
Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен:
“…Before engaging in any testing or submitting findings the Researcher agrees that he/she will (i) hold in confidence and not disclose to any third party any Confidential Information (CI) of Disclosing Party, except as approved in writing by Disclosing Party;..”
Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.
Расстроен тем что благое намерение запуска честной и прозрачной программы Bug Bounty Киевстар с уважаемым арбитром Bug Crowd, сейчас оборачивается подобными публикациями. С другой стороны это важная обратная связь для улучшения самой программы и внутренних процессов компании.
Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
Реплика приведенная выше и развитие диалога четко дает понять нам про намерение исследователя выложить информацию об инциденте в публичный доступ если не будет выплачено вознаграждение превышающее предложенные $50. Судя по тому что мы отказались выплачивать большую сумму и пост опубликован наша трактовка верна.
Когда два года назад возник прецедент с бета версией Мой Киевстар я дал свое слово сообществу Habr что Киевстар запустит BugBounty программу, чтобы серчеры пытались найти уязвимости в системах компании и получали вознаграждение за свои таланты. Для реализации программы мы выбрали платформу Bugcrowd и в прошлом году запустили
BugBounty в закрытом режиме — искать уязвимости приглашались только серчеры рекомендованные Bug Crowd.
В рамках программы компания предлагает найти уязвимости в системе самообслуживания Мой Киевстар, на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию. Суть Bug Bounty программы заключается в поиске ошибок (багов), особенно тех, которые касаются эксплойтов и уязвимостей. Независимый исследователь уязвимостей (= White Hat Hacker), найдя и подтвердив ошибку, получает вознаграждение.
Процесс поиска уязвимостей, обсуждения, устранения проблемы и выплаты вознаграждения регламентирован основными принципами проведения BugBounty, а также брифом компании, которая запускает программу. Регистрируясь в программе, исследователи автоматически принимают условия участия в ней, а также несут ответственность за соблюдения правил платформы BugCrowd. В рамках проведения программы Киевстар получает много сообщений, но только некоторые из них остаются в работе и могут быть вознаграждены согласно условиям брифа.
Весной этого года мы перевели программу в public чтобы больше серчеров могли попробовать свои силы в поиске уязвимостей. За указанный период исследователям было выплачено $27 155. Наивысшие разовые вознаграждения доходили до $1500.
Теперь ближе к конкретному инциденту.
Несколько недель назад мы получили от серчера сообщение об утечке административной информации. Исследователь получил доступ к файлу с перечнем некоторых онлайн сервисов, которые используются в Digital процессах компании.
В диалоге серчер сообщил что перечень получил по электронной почте непосредственно от сотрудника компании. Служебное расследование выявило что сотрудник который занимался ведением программы в результате ошибки автозаполнения в почтовом клиенте отправил письмо с сенсетив информацией на имейл одного из исследователей. Понятно что сам факт хранения паролей в таком виде недопустим и предмет отдельного разбирательства. Сотрудник был отстранен от дел.
Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения за сенсетив информацию, но описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании. Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар.
Единственная статья с широкой трактовкой в регламенте программы, к которой можно отнести данный прецедент подразумевает поощерительное вознаграждение в размере $50, что и было предложено серчеру в дополнение к искренней благоданости.
В коментариях было мнение что мол «могли договориться по человечески». Киевстар компания с крайне строгим отношением к Compliance — мы действительно ведем бизнес честно и не отступаем от принципов под давлением. Поскольку не смотря на исчерпывающие комментарии с нашей стороны, исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com компанией данное поведение может расцениваться как вымогательство.
Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен:
“…Before engaging in any testing or submitting findings the Researcher agrees that he/she will (i) hold in confidence and not disclose to any third party any Confidential Information (CI) of Disclosing Party, except as approved in writing by Disclosing Party;..”
Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.
Расстроен тем что благое намерение запуска честной и прозрачной программы Bug Bounty Киевстар с уважаемым арбитром Bug Crowd, сейчас оборачивается подобными публикациями. С другой стороны это важная обратная связь для улучшения самой программы и внутренних процессов компании.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.