Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов

    История о совпадении, везении и вознаграждении.

    Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:

    • просматривать баланс и детализацию звонков;
    • просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
    • добавлять новые услуги и менять тарифный план;
    • и самое главное — переводить деньги с телефона на телефон.

    Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.

    Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина)

    Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.

    В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.

    И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:
    В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».
    Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».

    Немного лирики
    Ещё до запуска Bug Bounty мной на сайте Киевстара была найдена возможность получать информацию о платёжеспособности клиентов компании по номеру телефона, а также о том, активен ли тот или иной номер.

    И зная то, сколько тратит абонент, недобропорядочные люди могут использовать такие номера для обзвона, или просто собрать и продать базу номеров для рассылки.

    Вот только программа выплаты вознаграждения за уязвимости была запущена всего на 2 недели, после чего перешла в режим приватной, и я не успел сообщить им о проблеме (а что бывает, если отправить сигнал по каналам связи, непредназначенным для подачи подобных заявок, описано в конце того же поста про Киевстар).

    Общаясь с w9w по другим вопросам, выяснилось, что у него есть возможность отправить отчёт в приватную программу Киевстара. Было принято решение попробовать передать проблему через коллегу. Но пока я составлял описание и подбирал скриншоты, мобильный оператор снова открыл доступ к Bug Bounty всем желающим.

    Поэтому я самостоятельно оформил обнаруженный мной кейс. Получив ответ, что это часть логики работы и риски были приняты на этапе их реализации, я не спорил.

    А вечером я обнаружил у себя в папке «Спам» письмо с домена Киевстар с HTML-вложением.

    И вот тут начинается самое интересное.

    Несмотря на то, что имя отправителя совпадало с именем сотрудницы, которая отвечала на мой предыдущий запрос на платформе Bugcrowd, e-mail пришёл не на тот ящик, который использовался для регистрации.

    Проверив вложение на вирусы, открыв его блокнотом и погуглив отправителя, я всё ещё не мог поверить в такое совпадение: это были закладки из браузера рабочего компьютера сотрудника Киевстар.

    Крупнейшему мобильному оператору Украины повезло, что письмо с вложением вида «Bookmarks_July.2018.html» попало не куда-попало (извините за тавтологию), а тому, кто понимает ценность таких данных и последствия их утраты.

    Всего в файле было 113 закладок. И среди разнообразных ссылок, как по работе (которые не открывались из внешней сети), так и не очень, затесалась одна, открыв которую мои глаза стали по пять копеек.

    Ссылка вела на незащищённый файл, в котором, среди прочего, были следующие колонки: «URL of the service», «Login» и «Password»:


    (для увеличения изображения откройте его в новой вкладке)

    Ещё раз подумав, а не фейк ли это, не honeypot ли, я попробовал войти в несколько из сервисов, ожидая преграду в виде двухфакторной аутентификации. Но её не было, и я вошёл. Вошёл как админ:







    Понимая, что доступ с правами администратора — это critical, на следующий день я быстро создал и отправил запрос Киевстару на том же Bugcrowd-е. Позже я получил в ответ «спасибо», очки репутации и $50.

    $50 за доступ к аккаунтам, общая стоимость которых официально составляет более $5 800.

    Я написал, что доступ к сервисам из списка с правами администратора:
    Amazon Web Services
    Apple Developer
    Mobile Action
    App Annie
    Disqus
    Google Developers
    Windows Dev Center
    KBRemote
    JIRA
    Smartsheet
    PushWoosh
    TicketForEvent
    Samsung Developers
    CMS для bigdata.kyivstar.ua и hub.kyivstar.ua
    Gmail
    Zeplin
    Prezi
    Bitbucket
    это критическая проблема, это доступ почти ко всей структуре компании и сервисам, которые она использует.

    Опираясь на потенциальный ущерб для бизнеса, репутации и клиентов, да и просто глядя на таблицу вознаграждений Киевстар, где моему сигналу был присвоен приоритет P1 (Sensitive Data Exposure: Critically Sensitive Data — Password Disclosure), я ожидал большего:



    Потеря доступа к таким сервисам любой цифровой компании является значительным ударом для бизнеса и репутации. Это намного хуже, чем просто какая-то уязвимость, это полный доступ. Это Клондайк полезной информации для любого преступника.

    С помощью одной только учётной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor.

    Однако Киевстар был непреклонен: «спасибо, вот вам $50, эта находка выходит за рамки программы».

    Жаль, что из-за таких решений корпораций честные люди будут задумываться, где сообщать о таком: официальными каналами, как я, или лучше найти того, кто предложит за данную информацию больше. Компании сами подталкивают людей к плохим мыслям и поступкам.

    И дело ведь не в деньгах, а в неуважении компании ко мне. В то время, как в одном из банков я находил возможности получать квитанции других клиентов и мне платили чуть больше $300 за каждую найденную возможность, есть также платёжные сервисы, которые за такую же уязвимость платили меньше $20 — и ничего, я не зол на вторых, 500 грн. тоже деньги. Но тут…

    Возможно, я ошибся в том, что ожидал большей награды. Пожалуйста, выберите в вариантах опроса ниже правильный по вашему мнению размер вознаграждения в данной ситуации. Своё мнение можете озвучить прямо здесь, в комментариях.

    P.S.: у каждого правила есть исключение.

    UPD от 09.01.2019: опубликовал ответы на вопросы, возникающие при прочтении данного поста + новая проблема Киевстара — https://habr.com/post/435074/

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Какую сумму компания должна была заплатить в данном случае:

    • 4.6%0 долларов42
    • 2.8%50 долларов26
    • 9.7%до 1000 долларов включительно88
    • 31.2%$1000 — $3000283
    • 50.4%$3000 и больше457
    • 0.9%свой вариант (напишу в комментариях).9
    Поделиться публикацией

    Комментарии 189

      +1
      С одной стороны у нас громкая фраза «админский доступ», а с другой стороны «просто прилетевший файлик с ссылкой на пароли». По сути вы им вернули утерянные ключи от дома, но не указали на проблему того как эти ключи теряются.
      Если они вот так хранят пароли, то есть один совет — БЕГИТЕ!
        +1
        Согласен. Никакого бага или уязвимости открыто не было. Вполне возможно, что об утечке паролей стало известно раньше, чем автор сообщил об этом. Считаю все же 50$ хорошим знаком. Могли бы просто сказать «спасибо» или вовсе проигнорировать, как делают это некоторые.
          +4
          В некоторых случаях спасибо лучше чем 50$.
            +3
            Напишу, чтобы не было недопониманий: те $50 я не забрал и не планирую.
              0
              Как можно не забрать bounty? Автоматом пересылают же.
                +1
                Я не выбрал способ выплаты в настройках и написал, что данную награду они могут перечислить на благотворительность.
                  0
                  Для хакеров это нормально, они ВСЕГДА проффесионально шифруются.
                  Вот типа сейчас у Киевстара, наверно, нет данных «исследователя». И у фонда нету.
              +1

              Уязвимость была. Это доступность файла с паролями по ссылке без авторизации.

                0
                Автор статьи проверил информацию и получил доступ по списку в статье.
                Значит логины и пароли на момент обращения были рабочие.
                0
                И без 2fa (хотя для некоторых компаний норма — чотбы не дёргать обладателя телефона при изменении чего-то, а потом норма что туда кто угодно зайти может. Бывший сотрудник, например). Так что уязвимостей там маленькая тележка плюс к отсылке.
                +5
                Ты разработчик сейфов. И ты объявил конкурс, что если кто-то взломает твой сейф — получит деньги.
                Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.

                Уязвимость ли это?

                Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.

                Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.
                  +1
                  Согласен. И можно было договориться чисто на человеческих отношениях, но они не пытались.
                    0
                    Проблема, скорее, что вы сами не пытались найти уязвимости баги, имея такой набор данных. Я не уверен, что это законно и, тем более, не уверен, что Киевстар оценил такое рвение по достоинству, но, как мне кажется, вы рано сдались Киевстару. Эх.
                      +4
                      Один из немногих годных комментов. Также добавлю что уязвимость можно (а точнее нужно) было преподнести полностью опустив факт слива через имэйл (а дополнить этой инфой только в случае адекватной реакции). Например, просто сообщить о ссылке на файл паролей, доступной без авторизации. Если заранее были опасения в неадекватной реакции на репорт, то можно было пойти дальше и скормить ссылку краулерам поисковиков, а после индексации отписать что файл в свободном доступе, да еще и в индексе Гугла и еще много кого. Это уже железно должна была быть валидная уязвимость.

                      Товарищам из Киевстара и всем кто не снимает лапшу с ушей про Out-of-Scope.
                      Вот вам показательный пример собственной бб-программы hackerone, а точнее репорта, который по иронии судьбы был им отправлен разработчиком из Киева (кстати на хабре есть рид-онли аккаунт с его ником). Вкратце: сотрудник Hackerone оставил персональные токены доступа в логах на Гитхабе. Итог — выплата $2000 за возможность потенциального коммита вредоносного кода в некоторые репозитории, который мог бы быть пропущен и в конечном счете импортирован куда не следует. Как вы думаете есть ли такое в Scope программы? Можете не гадать, а убедиться здесь, что явно такие вещи не указаны, т.к. любому грамотному человеку будет ясно, что уязвимости оцениваются по импакту, пусть даже от уязвимости которая косвенно влияет на основные активы компании, ведь в современном запутанном информационном пространстве дырочка в отдаленном сайте/сервисе может обернуться дырищей в самой компании.
                        0
                        Напомнило старую багхантерскую байку:
                        1. Находишь RCE
                        2. Не репортишь
                        3. Продаешь менее критичные уязвимости
                    +10
                    Проводя аналогию с Вашим примером — из потери ключей тоже можно вынести дофига ценного опыта. Почему ключи были оставлены на лавочке? Почему в одной связке были еще и ключи от машины и офиса? Почему не было какой-нибудь сигнализации, препятствующей доступу даже человеку с ключами? Что можно сделать для избегания подобных ситуаций в будущем?

                    Любая найденная брешь в безопасности — это всегда какая-то комбинация удачи взломщика, безалаберности и лени безопасников, науки, упорства и т.д… В данном случае было больше удачи, чем науки, но это не делает брешь менее опасной.
                      +7
                      Тут надо отделять мух от котлет. Письмо отправленное на чужой адрес — не баг, человеческий фактор. А вот список паролей доступный по ссылке без авторизации — баг, т.к. очевидно является частью рабочего процесса. Это как ключ от сейфа, который хранится под ковриком.
                        +1
                        С другой стороны, на серверах, которые хранят критические данные, доступ к которым по ссылке сразу админский, отключена двухфакторная авторизация?
                        Уже только за это можно было бы отнести проблему к P2 а то и к P1
                          +2
                          Если бы я, как потенциальный покупатель сейфа, узнал, что его разработчик как-то раз оставил на лавочке ключи от офиса, сейфа, дома и машины, и кто-то этим воспользовался, то я, вероятно, предпочел бы не покупать сейф этого производителя, и настоятельно не советовал бы друзьям покупать его. Все таки, кто знает, может к каждому проданному сейфу уже давно дубликаты ключей по рынку гуляют, да и хз, у кого доступ к информации о том, кто когда купил какой сейф, и где его смонтировал…
                            +1

                            Они потеряли не ключи. Они потеряли листок с номером ячейки, где ключи лежали. Но ячейка-то должна была быть закрыта!


                            То есть уязвимость не в том, что прилетела ссылка на пароли. Уязвимость в том, что пароли доступны по этой ссылке без авторизации.

                            +4
                            В данной ситуации стоит вспомнить историю о том, как парню в руки попал мастер-диск с исходниками StarCraft. После того, как он вернул его в Blizzard, он получил куда более $50.
                            Вообще у Киевстара репутация не самых приятных людей, когда доходит до того, чтобы вести с ними какие-либо дела. И эта история — очередное доказательство.
                              +22
                              Bug Bounty — по факту это программа которая поощряет «белых» хакеров не продавать уязвимости на сторону — а сообщать о них владельцу, и получать награду. То есть: вместо потенциальных огромных потерь компания выплачивает небольшую (сравнительно) сумму. Что мы видим тут — да, это не уязвимость. Но человек мог точно так же продать всю эту инфу «налево», и получить гораздо больше прибыли. Он поступает честно, и получает за это копейки. Чисто по-человечески, 50$ за такое — это как в лицо плюнуть. И не надо тут аналогий с потерянными ключами от квартиры — не надо сравнивать официальный, огромный бизнес, который мог понести многотысячные потери (что будет если зайти на амазон и всё дропнуть?) с обычной квартирой.

                              P. S. в конце концов — это просто глупо. На месте хакеров я бы теперь трижды задумался участвовать ли в их программе. Вдруг серьёзную находку тоже объявят «выходящей за рамки»
                                –17
                                > Он поступает честно, и получает за это копейки. Чисто по-человечески, 50$ за такое — это как в лицо плюнуть.

                                Если мы говорим о моральной стороне дела, «чисто по-человечески», как вы выразились — то честно надо поступать вовсе не для того, чтобы денег срубить. :/ И вполне нормальная награда за честный поступок — это, вообще говоря, просто «спасибо», даже без всяких денег.

                                Что же касается bug bounty, то там суть в том, что человек делает некую работу, которая должна быть оплачена. В данном случае сложно говорить о работе по поиску уязвимостей — по сути, человек абсолютно случайно получил доступ на блюдечке из-за халатности одного из сотрудников. С тем же успехом можно ожидать вознаграждений, если случайно подслушать разговор двух сотрудников, в котором они конфиденциальной информацией обмениваются. Требовать за такое деньги (если таковые требования были) — это, извините, больше похоже на шантаж, а не участие в bug bounty.
                                  +14
                                  если случайно подслушать разговор двух сотрудников, в котором они конфиденциальной информацией обмениваются
                                  Так это вполне себе уязвимость. Если сотрудники обсуждают пароли в курилке, и возле этой курилки может стоять любой посторонний — это самая настоящая уязвимость, несмотря на то что работы проделано ноль.
                                    –11
                                    > это самая настоящая уязвимость

                                    «Уязвимость» в рамках программ bug bounty — это не то, что под этим словом понимает случайный человек, а именно то, что описано в качестве таковой в услових программы. Как правило, под таковыми понимаются ошибки в программном коде, алгоритмах или конфигурации сервисов, позволяющие причинить ущерб. Глупость сотрудника, выложившего в открытый доступ страничку с паролями к используемым им сервисам — это немного другое. А ваша трактовка «уязвимостей „является настолько расширительной, что де-факто легализует вымогательство и шантаж. Только в жизни на это обычно смотрят иначе и относятся к подобым людям соответственно. “Чисто по-человечески» нормальный разговор в таких случаях — " — Парни, у вас тут из окошка какая-то папка с бумагами выпала. — О, чувак, спасибо, мы можем тебя чем-то отблагодарить? — Ну угостите пивом.", а вовсе не "- Так, парни, я тут нашел вашу папочку, прочитал и решил, что вы мне теперь за молчание много бабла должны".
                                      +1
                                      @ldarz ну ты смешной. Один тащищь за весь киевстар чтоли? ахахахах.

                                      Вот ты пишешь
                                      Парни, у вас тут из окошка какая-то папка с бумагами выпала. — О, чувак, спасибо, мы можем тебя чем-то отблагодарить? — Ну угостите пивом.", а вовсе не "- Так, парни, я тут нашел вашу папочку, прочитал и решил, что вы мне теперь за молчание много бабла должны".


                                      А вот как это выглядит на самом деле
                                      — Компания: Ой, мы тут ехали по улице на машине и у нас выпал из окна чемоданчик, набитый деньгами (учитывая вашу утечку) не меньше чем с четвертью миллиона гривен.
                                      — Хантер: Ребят, у вас тут чемодан с деньгами выпал с окна машины, вот, держите, срочно закройте свое окно, что бы дальше деньги не вываливались.
                                      — Компания: О, ну ты молодец, умничка, вот тебе 1000 гривен, иди с богом.
                                      — Хантер: Алло, я мог забрать себе четверть миллиона, а вы мне 1000? Вы адекватные вообще?
                                      — Компания: Ну ты понимаешь, это out-of-scope, вот если бы ты придумал как вытащить наши четверть миллиона из нашего офиса, вот тогда ты молодец, а так возьми на пиво и топай.
                                      — Хантер: Да вы совсем охерели, пойду напишу хоть на хабр, пусть общественность увидит какой Киевстар жмоты с недоразвитым security отделом.
                                      — Компания (один чувак): Ну я попытаюсь оправдать наш говнофейл в коментах, что бы нас не так хуесосили другие хантеры (понимая что компания в жопе :) )


                                      И все в таком духе будет продолжаться. Короч Киевстар мудозвоны, а автор статьи один из ярчайших примеров White Hat хантеров.

                                      P.S. Но в следующий раз топи этот Киевстар, толкай Critical баги в даркнете) Эти недалекие ребята потом еще поймут, как обосрались)
                                        +3
                                        ildarz, вот поразмысли еще над следующей информацией:

                                        Bug Bounty нужно не багхантерам в первую очередь, они то заработают в любом случае, Bug Bounty нужно компании. Зачем? Что бы минимизировать крупные убытки в виде утечек и взломов более мелкими тратами, стараясь заинтересовать всех багхантеров в отправке найденного ими непосредственно в компанию, а не третьей стороне. Вот изначальная идея создания любого Bug Bounty. Это уже потом придумываются Severity, Scope и прочее, что бы как то формализовать схему оценки\выплат.

                                        Если компания открывает свое Bug Bounty и не понимает то, что я написал выше, то это как использовать кучу одинаковых вложенных циклов вместо рекурсии, будет частично работать, но костыыыыыыыыльно и очень коряво…
                                          +2
                                          И если бага\информация не попадает в scope bugbounty компании, но может нанести урон, то это исключительно недоработка самой компании. Если хантер нашел какую то уязвимость и очень сомневается, писать ли репорт, то это в первую очередь вина самой компании. Это говорит о том, что bugbounty программа не полностью справляется со своей задачей и нужно что то улучшать. Имею в виду конечно же независимых исследователей, White\Gray Hat хантеров, ищущих баги в целях заработать вознаграждение законным способом. Целенаправленные APT атаки — это отдельная тема разговора.
                                        +3
                                        Что же касается bug bounty, то там суть в том, что человек делает некую работу, которая должна быть оплачена.

                                        А если человек потратил время, проведя работу по поиску и не нашел уязвимости. Работу то он проделал. Она должна быть оплачена?

                                        Как нужно рассчитывать цену за найденную уязвимость, по сложности воспроизведения или все же по возможным рискам и потерям, которые могут наступить?
                                          –8
                                          Думаю, это вопросы надо задавать организаторам программ, а не мне. Но суть дела не в них, а в том, что описываемая ситуация не имеет никакого отношения к bug bounty в принципе. Здесь вообще нет ничего, что называется «уязвимостью» в контексте разработки и настройки ПО.
                                          +1

                                          Платят не за работу, платят за уязвимость. То, что файл с паролями доступен без авторизации — уязвимость. Критичная.

                                            +1
                                            > То, что файл с паролями доступен без авторизации — уязвимость. Критичная.

                                            Только в случае, если этот файл лежит в месте, где он и должен лежать по внутренним регламентам компании. А если безголовый юзер сделал себе файлик и по дурости выложил на условный яндекс.диск или иной открытый ресурс — к тому понятию уязвимости, за которое обычно платят деньги в рамках bug bounty, это имеет ровно такое же отношение, как если бы тот же сотрудник записал критичную информацию на бумажке, а потом ее в метро потерял. То есть никакого.
                                              0

                                              Что-то берут сомнения, что у Киевстар есть "внутренние регламенты", где должны лежать такие "файлики с паролями".


                                              Да, это не относится напрямую к дыркам в ПО (ПО отработало как надо), скорее к дыркам в бизнес-процессах. Не захотели платить за дырку в бизнес-процессе — их понять можно. Но тогда их возмущение от публикации непонятно.

                                                –1
                                                С моей точки зрения тут все хороши — и Киевстар, который повел себя сугубо формально (и в котором таки да, явные проблемы с безопасностью бизнес-процессов), и автор, который обиделся, что ему халява не обломилась.

                                                Сам по себе факт раскрытия информации об утечке — нормально, но вот эти обиды, что много денег не дали… по мне так когда люди начинают ожидать, что им непременно должны денег просто за нормальный человеческий поступок — это грустно.
                                                  +1
                                                  Nothing personal, just business. Рыба ищет, где глубже, а человек где лучше. Мне кажется Вы видите статью, как исключительно месть автора и статья вообще не имеет смысла существовать. Я же вижу статью, которая достаточно подробно описывает ситуацию и то, как компания это оценивает. И в следующий раз человек задумается, куда же лучше отнести свою находку связанную с компанией Киевстар.
                                                0
                                                А если безголовый юзер сделал себе файлик и по дурости выложил на

                                                То это провтык службы безопасности в целом, которая проводит недостаточно работы по ознакомлению сотрудников с внутренним регламентом безопасности, или этот регламент недостаточно хорош, либо его вообще нет.
                                                  0
                                                  > А если безголовый юзер сделал себе файлик и по дурости выложил на

                                                  У этого безголового юзера есть админ доступ к сервисам компании, это не уборщица. Проблема с безопастностью у «головы», а не у стажера.
                                                +1
                                                Типа, «спасибо что за вход по ссылке не засудили, а денег дали»?
                                              +2
                                              КС — большая структура. Скорей всего решение о выплате принял некомпетентный сотрудник, чтоб прикрыть свою попу.
                                              Вполне возможно, что начальство абсолютно не в курсе ни уязвимости ни выплаты.
                                                +6
                                                Тогда это все равно вина начальства, раз подобные решения принимает некомпетентный сотрудник.
                                                Кстати, какие последствия такой ошибки были для сотрудницы и для их службы безопасности? Я так понимаю, никогда не узнаем?
                                                А на мой взгляд это яркий пример уязвимости в ИБ фирмы, где хранение и передача подобных доступов слаборегламентирована (и это в фирме подобных масштабов).
                                                  +1
                                                  Так никто и не спорит.
                                                  Скажем так, знания об их внутренней «кухне», позволяют мне рекомендовать не работать с этой компанией. Слишком многое завязано на личных отношениях.
                                                    +5
                                                    А мне кажется, что это недоработка баг-баунти платформы. Решение о критичности найденной баги НЕ должна делать сама компания, баг которой нашли. Это должен быть внешний арбитр. Компания выделяет бюджет на баг-баунти программу, правила определения критичности проблем — и отдаёт это всё третьей стороне. А так получается, что безопасники Киевстара сами же оценивают провтыки в своей же работе. Конечно, они до последнего будут говорить, что «ничего страшного не случилось».
                                                      0
                                                      Конечно, проявление скотскости можно разок закрыть костылем. Но звать отдельную компанию, которая будет оценивать важность провтыков… А кто уследит, чтобы эта компания, имея жирные доступа, не своровала чего-нибудь, или ее нечиспотлотный сотрудник не превысил полномочия, особенно, учитывая, что ценной может быть не только техническая информация, позволяющая облегчить взлом, но и информация о бизнес-процессах и результатах бизнеса сама по себе? Слишком сложно и бюрократично.

                                                      Тут дело принципов и ценностей КС — если для них сложившаяся ситуация ок, то внешними арбитрами, аудиторами, техническими аудиторами, фин. контроллерами, и прочими людьми, которые берут деньги за решение обход проблемы внутреннего недоверия в компании, лишь вылечишь симптомы.
                                                        0
                                                        Отчёт-то проходит через их платформу (кто-то и так может получить доступ). Тут вопрос — они предоставляют что-то, но не контролируют, захочет КС засудить исследователя и, как понимаю, эта «платформа» тоже ничего не сможет сделать (разве что адвокат сможет что-то запросить, что и так есть на руках). Т.е. по сути они — некий форум, где обмениваются исследователи и клиенты, кто честен — и так выплатит, кому это нужно для пиара — будет поступать как КС.
                                                  0
                                                  Хм… Если по вине сотрудника компании возможно получить некоторые «секретные» данные компании, использование которых в «нечистоплотных» целях может привести к материальным убыткам как компании так и ее клиентов и т.п., то это конечно не «техническая» уязвимость, а «организационная».
                                                  Но ее суть от этого не меняется, т.к. она (уязвимость) так же может привести к негативным последствиям и ее тоже необходимо «закрывать» (ИМХО)
                                                    0
                                                    Вполне себе техническая. Надо юзать какой-нибудь PAM, типа СайберАрка, а пароль в открытом виде вообще никто видеть не должен из сотрудников.
                                                    не_знаешь_пароль_не_можешь_его_слить.жпг
                                                      0
                                                      PAM, типа СайберАрка

                                                      Название плохо гуглится.
                                                      Можете привести английское название продукта и/или другие похожие продукты?
                                                        0
                                                        Класс решений — privileged access management (PAM). Топовый продукт для подобного Киевстару энтерпрайза — CyberArk. Стоит соответственно :) Из подобного, что на память пришло — Thycotic, ObserveIt.
                                                        Основная идея — пароли к нерядовым (админским, сервисным) аккаунтам лежат в центральном волте, зашифрованные по полной, рандомные и ротируются хоть при каждом факте использования. А конечные пользователи — админы какого-то сервиса, которых больше чем 1, используя свои персональные бесправные учетки получают каким-то образом (в этом вся соль, каким конкретно) доступ к защищаемым учеткам. При этом действия, выполняемые под привилегированной учеткой логируются, записываются и при каких-то подозрительных корреляциях могут блокироваться на ходу.
                                                        Это если вкратце.
                                                          0
                                                          Грубо говоря прокси сервис для ssh, snmp, rdp, http, https?
                                                          Или все-таки каким-то образом еще выдается одноразовый пароль?
                                                            0
                                                            Я видел в реализации для сети агенств:
                                                            Свой сервер в центральном офисе.
                                                            У каждого офиса статичный ип, по рдп любой может зайти только с этих известных ип.
                                                            В терминале пользователя браузер который умеет работать только с определенными сервисами (все жестко в закладках, в другие места фаервол не пустит). Плагин автоматически забивает пароли в эти сервисы. Логин/пароль от сервиса не увидеть, Все зарезано от и до.
                                                            Учетки в них хоть и общие, но все логируется какой пользователь откуда куда ходил что оформлял.
                                                    +16
                                                    «Вот тебе пятак на водку. И пошел отседа вон!.»
                                                      +18
                                                      Спасибо за статью, это отличный маяк для белых хакеров, что с компанией просто не нужно иметь дела.
                                                        0
                                                        что с компанией просто не нужно иметь дела
                                                        Но тогда это не белые получается, а черные шляпки)
                                                          0
                                                          Разница между чёрными и белыми в том, что чёрный после успешного исследования продаст данные третьему лицу, а белый (который рассчитывает на достойное вознаграждение за свои труды) может вовсе не браться за исследования для «Киевстара», ведь продажа на сторону нарушает кодекс белого хакера.
                                                        –5
                                                        И чем человек недоволен? Получил деньги. А мог бы ехать в лес. В багажнике. В разных машинах :)
                                                          +12

                                                          «Неправда, что мы пользуемся только кнутом. Если что, мы и пряником можем уе&#ть»

                                                          +4
                                                          Вообще, уязвимости вне рамок программы — это довольно болезненная тема. Во многом из-за того, что такой подход часто не способствует, а иногда даже вредит безопасности. Недавно нахожу уязвимость в новом сервисе инвестирования от очень известной компании, отправляю информацию в Bug Bounty. Получаю ответ, что это вне рамок программы (хотя надеялся, что для критичной уязвимости могу сделать исключение). Честно? Вполне, все в соответсвии с рамками. Буду ли туда отправлять ещё уязвимости для нового сервиса инвестиций? Нет, особого смысла в этом нет. А для хакера особой разницы нет, откуда тащить данные, если он нашёл дыру.

                                                          А телекомы — это отдельный ад. Такого сочетания количества серьёзных дыр и скрытности сотрудников не встречал больше нигде. Ряд критических уязвимостей у четырёх разных операторов, за четыре месяца (милое совпадение) не смог достучаться до адекватного сотрудника ни у одного оператора. Зато получил кучу ответов от роботов и крайне вежливых сотрудников поддержки, которые сочувствуют и надеятся, что когда-нибудь безопасники мне ответят.
                                                            –1
                                                            1. А они вообще сменили утекшие пароли?
                                                            2. Как обстоит с бэкапом?)
                                                              –29
                                                              Добрый день. Работаю директором направления Digital в Киевстар и попробую описать свою точку зрения на сложившуюся ситуацию.

                                                              Когда два года назад возник прецедент с бета версией Мой Киевстар я дал свое слово сообществу Habr что Киевстар запустит BugBounty программу, чтобы серчеры пытались найти уязвимости в системах компании и получали вознаграждение за свои таланты. Для реализации программы мы выбрали платформу Bugcrowd и в прошлом году запустили
                                                              BugBounty в закрытом режиме — искать уязвимости приглашались только серчеры рекомендованные Bug Crowd.

                                                              В рамках программы компания предлагает найти уязвимости в системе самообслуживания Мой Киевстар, на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию. Суть Bug Bounty программы заключается в поиске ошибок (багов), особенно тех, которые касаются эксплойтов и уязвимостей. Независимый исследователь уязвимостей (= White Hat Hacker), найдя и подтвердив ошибку, получает вознаграждение.

                                                              Процесс поиска уязвимостей, обсуждения, устранения проблемы и выплаты вознаграждения регламентирован основными принципами проведения BugBounty, а также брифом компании, которая запускает программу. Регистрируясь в программе, исследователи автоматически принимают условия участия в ней, а также несут ответственность за соблюдения правил платформы BugCrowd. В рамках проведения программы Киевстар получает много сообщений, но только некоторые из них остаются в работе и могут быть вознаграждены согласно условиям брифа.

                                                              Весной этого года мы перевели программу в public чтобы больше серчеров могли попробовать свои силы в поиске уязвимостей. За указанный период исследователям было выплачено $27 155. Наивысшие разовые вознаграждения доходили до $1500.

                                                              Теперь ближе к конкретному инциденту.
                                                              Несколько недель назад мы получили от серчера сообщение об утечке административной информации. Исследователь получил доступ к файлу с перечнем некоторых онлайн сервисов, которые используются в Digital процессах компании.

                                                              В диалоге серчер сообщил что перечень получил по электронной почте непосредственно от сотрудника компании. Служебное расследование выявило что сотрудник который занимался ведением программы в результате ошибки автозаполнения в почтовом клиенте отправил письмо с сенсетив информацией на имейл одного из исследователей. Понятно что сам факт хранения паролей в таком виде недопустим и предмет отдельного разбирательства. Сотрудник был отстранен от дел.

                                                              Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения за сенсетив информацию, но описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании. Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар.
                                                              Единственная статья с широкой трактовкой в регламенте программы, к которой можно отнести данный прецедент подразумевает поощерительное вознаграждение в размере $50, что и было предложено серчеру в дополнение к искренней благоданости.

                                                              В коментариях было мнение что мол «могли договориться по человечески». Киевстар компания с крайне строгим отношением к Compliance — мы действительно ведем бизнес честно и не отступаем от принципов под давлением. Поскольку не смотря на исчерпывающие комментарии с нашей стороны, исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com компанией данное поведение может расцениваться как вымогательство.

                                                              Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен:
                                                              “…Before engaging in any testing or submitting findings the Researcher agrees that he/she will (i) hold in confidence and not disclose to any third party any Confidential Information (CI) of Disclosing Party, except as approved in writing by Disclosing Party;..”

                                                              Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.

                                                              Расстроен тем что благое намерение запуска честной и прозрачной программы Bug Bounty Киевстар с уважаемым арбитром Bug Crowd, сейчас оборачивается подобными публикациями. С другой стороны это важная обратная связь для улучшения самой программы и внутренних процессов компании.

                                                                +15
                                                                Простите, но
                                                                Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения
                                                                — ложь. Приведите пример такой фразы.
                                                                  +18
                                                                  Вот цитата из отчёта:
                                                                  Are you seriously? $50 for access to accounts, the official total value of which is > $5800 ???

                                                                  Зачем обманывать читателей, что «исследователь продолжал настаивать на выплате $5800»?
                                                                    +3
                                                                    Плохое владение английским и чтение по-диагонали
                                                                      +1
                                                                      «Digital директор», который не способен прочитать и правильно понять простую английскую фразу так себе digital директор.
                                                                      +9
                                                                      Исследователь не просит и не требует от Вас $5800 а сравнивает Ваше вознаграждение с минимальным возвожным ущербом (так как владея таким доступом, нехорошие люди могли бы причинить еще больший ущерб компании, не считая репутации). Утрируя… Да это не относится к Вашей BugBounty программе, но и сам факт того, что человек Вам об этом сообщил а не воспользовался случаем, достоино большего.
                                                                      +23
                                                                      В следующий раз промолчит или продаст тому, кто больше предложит.
                                                                        +35

                                                                        Довольно глупый бюрократический ответ. Если тезисно:


                                                                        • Программа не предусматривает… так что идите лесом, хаха
                                                                        • Вы же не старались, так за что вам платить?!
                                                                        • У нас тут всё строгопрогнило, мы как в смерительной рубашке, так что — шаг влево, шаг вправо и уже не платим, мы же серьёзная контора
                                                                        • Вымогатели!111 Вымогатели повсюду!
                                                                        • Мы творим добро, а вы нас не цените!

                                                                        А по сути:


                                                                        • С вашей стороны был дичайший косяк, который мог стоить вам большииих денег
                                                                        • Человеку, который не продал ваш "косяк" на сторону, вы подарили "блины на лопате" в качестве благодарности
                                                                        • Теперь вы его обвиняете в вымогательстве

                                                                        А выводы простые. В следующий раз этот или другой человек, столкнувшийся с подобной проблемой хорошенько задумается, а не продать ли это на сторону? Всё равно контора найдёт 150 отмазок, какой-нибудь пункт в регламенте, обвинит в вымогательстве, может даже судом пригрозит. А тут вроде шальные деньги.


                                                                        Но дело, разумеется за вами.

                                                                          +8
                                                                          Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар

                                                                          Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы

                                                                          Так если сообщение исследователя не попадает под эту программу, как он может нарушить правила этой программы?

                                                                            +4
                                                                            Хеллоу, ничего что я по-английски? Лет ми спик фром май харт!
                                                                              +7
                                                                              Меня тоже резануло обилие англицизмов то кирилицей, то латиницей, то с маленькой буквы, то с большой.
                                                                              Работаю директором направления Digital

                                                                              Спасибо, мы поняли, что вы явно не грамотное лицо.

                                                                                +2
                                                                                путем не сложных поисков, можно найти, что Soultan работал «Head of Digital Marketing Squad», а потом «Chief Digital Officer». Soultan маркетолог, а не технарь.
                                                                                А вот от это «Digital» прям несет некомпетентностью, тем более в тех компании.
                                                                              +6

                                                                              Вы конечно извините, но само сущестование такого файла с учетками к куче абсолютно не связаных между собой сервисов — явный признак того, что про безопасность у вас вообще никто не думает.


                                                                              Интересно, скольким сотрудникам ради доступа к какому-нибудь одному сервису пересылали всю эту базу 'оптом'.

                                                                                +1
                                                                                Soultan не считает это уязвимостью, поскольку в их проходном дворе файлик у каждого первого, если вообще не у 146% сотрудников (наверняка пароли не меняются (это же файлик снова пересылать надо) и после увольнения так же можно спокойно зайти на сервис). Худшее, что видел до этого — такой файлик в сетевой шаре, но чтобы по почте…
                                                                                +5
                                                                                это позор
                                                                                  +7
                                                                                  1. А как насчет отсутствия двухфакторной авторизации для админского доступа, имеющего отношение к финансам клиентов?
                                                                                  Это явно уязвимость.

                                                                                  2. Кроме того, то, что у вас пароли передаются по почте, и оказалось простым автозаполнением можно выслать sensitive дата — это явно уязвимость инфраструктуры. В адекватном случае, корпоративная почта может помечаться как public/internat/confidental, и следовательно confidental письмо не должно в принципе выходить за пределы внутренней почты. Но видимо у вас такой классификации нет, либо сотрудники ее не соблюдают.
                                                                                  Это уязвимость внутренней политики и отдела безопасности на уровне организации.

                                                                                  3. Оценка уязвимости, вне зависимости от ситуации, должна отталкиваться от возможных финансовых потерь компании. Это справедливо и с точки зрения логики и с точки зрения человека, который получил доступ к уязвимости и решает каким путем ему пойти.
                                                                                    +4
                                                                                    1. Если данная информация была получена не в рамках программы, то она по моему мнению и должна оцениваться не в рамках программы, которой вы защищаетесь.
                                                                                    2. Автор молодец, что опубликовал эту статью и мне без разницы, что за 5800$ он мог этого не сделать, ведь статья уже выложена. Добропорядочные люди должны знать то, как работает с данными эта компания и компания тоже молодец, что этому способствовала.
                                                                                    3. Не первый раз компания показывает свою некомпетентность в выборе сотрудников и вероятно маленькую зарплату для таких должностей, как HR, специалистов по безопасности, программистов и так далее.
                                                                                      +2
                                                                                      а что бывает, если отправить сигнал по каналам связи, непредназначенным для подачи подобных заявок, описано в конце того же поста про Киевстар

                                                                                      и


                                                                                      Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен

                                                                                      Gorodnya как в воду глядел, разве что не важно предназначен канал связи или нет

                                                                                        +1
                                                                                        Моя точка зрения, начальник этого сотрубника тоже должен уволится и быть оштрафован, так как не доглядел…
                                                                                          +1
                                                                                          данное поведение может расцениваться как вымогательство.

                                                                                          Дайте, пожалуйста, цитаты или скриншоты. Если вы не обманываете и не выкручиваетесь, это может заметно изменить отношение к ситуации.

                                                                                            +1
                                                                                            Не знаю что вы пытаетесь этим заявлением сделать, но оно явно не работает.
                                                                                            –30
                                                                                            По условиям Bug Crowd не имеем права выкладывать скрины переписки с исследователем — запросили у них разрешение.

                                                                                            Реплика приведенная выше и развитие диалога четко дает понять нам про намерение исследователя выложить информацию об инциденте в публичный доступ если не будет выплачено вознаграждение превышающее предложенные $50. Судя по тому что мы отказались выплачивать большую сумму и пост опубликован наша трактовка верна.
                                                                                              +8
                                                                                              автору стоило б своё время выложить в публичный доступ excel-файл, как «таблетку от жадности»
                                                                                                +2
                                                                                                не нужно автору, это может быть какой-нибудь еще один анонимный «исследователь», который увидел как работает данная контра и решил ее проучить, ведь уже всем понятно, насколько дырявая компания.
                                                                                                +18
                                                                                                Виталий Soultan, давайте попробуем ещё раз. Вы обвиняете меня в том, что я прямо просил и настаивал на выплате $5800. Это ложь. Мне такие утверждения неприятны.

                                                                                                Также:
                                                                                                — в статье про запуск BugBounty указано, что компания нашла уязвимость во время бета-тестирования обновленной системы «Мой Киевстар» — но её нашёл пользователь Хабра;

                                                                                                — Вы обещали написать здесь об этом здесь – не написали;

                                                                                                — "Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения" — ложь. Я спросил "Вы серьезно? $50 за доступ к аккаунтам, официальная общая стоимость которых составляет $5800?";

                                                                                                — "было предложено серчеру в дополнение к искренней благоданости" — искренней благодарности я также ни разу не увидел (но это моё субъективное мнение);

                                                                                                — "исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com" — ложь. Я не продолжал настаивать, а пытался аргументированно спорить, используя максимально понятный бизнесу язык. Мало того, я нигде не указывал эту сумму (см. выше) и не угрожал публикацией, а сообщил, что я понимаю, что также могу быть неправ в ожидании большей награды, и в вопросе суммы – необходимо ли было компании заплатить $0 или $50 или $5000 – пусть рассудят пользователи habr.com.

                                                                                                Возможно, коллеги донесли Вам информацию некорректно, или же в спешке Вы читали репорт поверхностно. Посмотрите, пожалуйста, отчёт на Bugcrowd самостоятельно, чтобы убедиться в обратном.
                                                                                                  +9
                                                                                                  Вишь как, а толкнул бы в даркнете за биткоин и никто бы тебя на тебя не клеветал на публичном ресурсе.

                                                                                                  Сюрреализм…
                                                                                                  +1

                                                                                                  По условиям Bug Crowd? Но вы же сами утверждаете, что данный случай не подходит под программу. Так и в чем проблема, рассказать об инциденте публично? Это же какой-то посторонний инцидент, к вашей bug bounty отношения не имеющий, верно? Почему на него должна распространяться какая-то конфиденциальность?

                                                                                                  +24
                                                                                                  Киевстар — решето и жмоты, я правильно понял суть?
                                                                                                    +5
                                                                                                    «Это какой-то… позор.»
                                                                                                      –13
                                                                                                      Я думаю, що все залежить не від компанії чи ще якоїсь речі в повідомленнях. Суть полягає в тому, що від зломів, хакерських атак та всіляких махінацій з іменами та правами доступу не застрахована ходна компанія, і акцентувати на тому, що це відбувається лише в когось одного не дуже коректно.
                                                                                                        +15
                                                                                                        Храним пароли в эксель-файле который рассылаем по почте
                                                                                                        image
                                                                                                          +5
                                                                                                          И не делаем двухфакторную аутентификацию, ну чтоб уж наверняка!
                                                                                                          –22
                                                                                                          Итого, имеем следующее:

                                                                                                          1. Весь пост пропитан обидой за «недополученные» деньги по обоим кейсам (за Мой Киевстар и за файлик с паролями).
                                                                                                          2. Сообщество (на данный момент больше 160 человек проголосовало за «выплату $3000 и больше»)
                                                                                                          3. В больших компаниях продолжают хранить пароли по старинке (привет адекватности)

                                                                                                          Да, Киевстар облажался (но суть не в нём и не в его процедурах, хотя и ежу понятно, что если бы попало в скоуп багов — то выплатили бы).

                                                                                                          Грустно, что те люди, которых называют white hat hackers по сути, превратились в обычных призоловов, которые шейрят посты в соцсетях в надежде получить автомобиль ценный приз с помощью магии рандома на random.org И ещё более грустно, что их большинство из проголосовавших.
                                                                                                            +12
                                                                                                            А еще имеем:
                                                                                                            1. Комментарий который пропитан пренебрежением к автору данной статьи и мнению сообщества.
                                                                                                            2. Нежелание признавать ошибки (организационные), за ошибки.
                                                                                                            3. valear грустно. И еще более грустно.
                                                                                                              –6
                                                                                                              Superl3n1n пожалуй, не соглашусь с вами. Нет у меня пренебрежения к автору, я жду официальный фактаж / скриншоты итп. Кроме того, как человек, который неоднократно находил и уязвимости, и разнообразные проблемы (и даже файлы с паролями ;) никогда не ждал каких-то вознаграждений.

                                                                                                              Вероятно, вам, уважаемый Superl3n1n с тезисом призоловы == часть сообщества действительно очень трудно согласиться.
                                                                                                                +14
                                                                                                                никогда не ждал каких-то вознаграждений
                                                                                                                != «все должны делать так же, как и я, ибо только я могу быть прав»
                                                                                                                  –4

                                                                                                                  Абсолютно с вами согласен. Просто есть понятие профессиональной этики. Тут налицо она нарушена исследователем, но для каких-либо выводов следует ждать фактаж.

                                                                                                                    +4
                                                                                                                    А еще есть понятие как репутация, в данном случае — Киевстара. Она тут не нарушена?
                                                                                                                      –1

                                                                                                                      Речь не о репутации Киевстар, а о том, как нивелируется значение профессии.

                                                                                                                        +2
                                                                                                                        И все таки вы однобоко стараетесь выстыдить автора статьи, за то, что он приоткрывает ширму того, как относится компания к подобным оплошностям и как она это расценивает.
                                                                                                                          –1

                                                                                                                          Я подожду фактаж и изложу свою точку зрения отдельным постом, чтобы не было впечатления однобокости (если действительно определения профессиональной этики недостаточно). И да, речь идёт не только о авторе статьи, не о Киевстар и не о деньгах.

                                                                                                                      +3
                                                                                                                      Люблю отсылки к профессиональной этике.
                                                                                                                      Вот интересною, если я, допустим, работаю на фирму конкурента Киевстар и найдя уязвимость отнёс её своему боссу, я поступил правильно или нет?
                                                                                                                        0
                                                                                                                        Внутри компании обычно есть свои правила. Конкретно по теме, поднятой автором:

                                                                                                                        1. Есть правила платформы bugcrowd
                                                                                                                        2. Есть определение того, за что исследователь получает вознаграждение
                                                                                                                        3. Есть факт нарушения исследователем правил платформы (что по сути и есть нарушением профессиональной этики) под соусом «льву мяса не додают»
                                                                                                                        4. Есть факт халатности на стороне Киевстар
                                                                                                                        5. Есть факт того, что части сообщества по сути пофиг на объективность, все ополчились за 50 баксов (и это ёлки-палки низковато)

                                                                                                                        Ждём фактаж, т.к. тут его малость недостаточно для нормальных выводов.
                                                                                                                          +1
                                                                                                                          3. Есть факт нарушения исследователем правил платформы (что по сути и есть нарушением профессиональной этики) под соусом «льву мяса не додают»

                                                                                                                          Можете, пожалуйста, назвать конкретно правило какое нарушил исследователь? Если даже директор направления Digital в Киевстар не может определится. Эта оплошность входит в рамки программы или нет. Автор статьи не выложил этот документ в публичный доступ (к вопросу об этике).

                                                                                                                          По поводу фактов, Вы уже 4-й раз говорите, что ждете их. Какие факты Вы ожидаете увидеть? И кто обещал их предоставить?
                                                                                                                            –1
                                                                                                                            Superl3n1n, конечно. По поводу правила — вот ссылка на стандартные правила www.bugcrowd.com/resource/standard-disclosure-terms, которые действуют для программы bugcrowd.com/kyivstar там есть пункт
                                                                                                                            Communication regarding submissions must remain within Crowdcontrol and/or official Bugcrowd support channels for the duration of the disclosure process.


                                                                                                                            Довольно исчерпывающий пункт, с учётом того, что программа bugcrowd.com/kyivstar не завершена.

                                                                                                                            Кроме того, исследователь получил письмо, как я понял, по ошибке. И либо ради пиара, либо ради того, чтобы как-то пристыдить Киевстар, опубликовал пост тут. Хотя можно это было сделать по факту окончания программы / поискать что-то ещё. Я нечасто комментирую тут, но сдержаться было трудно после просмотра этого поста и комментариев под ним.

                                                                                                                            По поводу фактов, Вы уже 4-й раз говорите, что ждете их. Какие факты Вы ожидаете увидеть? И кто обещал их предоставить?


                                                                                                                            По поводу ожидаемых фактов. Я об этом комментарии habr.com/post/418591/#comment_18941197 Возможно, я заблуждаюсь, но именно переписка многое может прояснить.
                                                                                                                              +2
                                                                                                                              Так если этот инцидент по словам представителя компании не попадает под из программу, каким образом автор нарушает правила?
                                                                                                                                0

                                                                                                                                Это отражено в заголовке и озвучено автором — он участвовал в программе. Появятся какие-либо скриншоты с подтверждениями, отлив и покажет, кто купался

                                                                                                                                  +1
                                                                                                                                  Мое мнение, что поведение КиевСтар в данном случае это просто дебилизм наивысшей пробы, наивысочайшей.

                                                                                                                                  Если бы я, как директор, увидел, что пароли хранят в одной куче да еще и в файле, я бы в этот же момент применил максимально высокое наказание к тем что допустил подобное, и всем кто рядом тоже (включая админов и секюрети)

                                                                                                                                  А главное, сделал бы все что бы это не узнала общественность, тем более юзеры и акционеры.

                                                                                                                                  А 5.000 или 50.000 это просто фигня по сравнению с репутационными потерями.

                                                                                                                                  Даже если бы нашедший плевал мне в лицо, материл и требовал групповухи со всем секретаршами сразу, это никак должно повлиять главное — сделать все что угодно, что бы это не вышло наружу, а тем более, нашедший, вел себя очень культурно.

                                                                                                                                  А пока, лично я, вижу в поведении ответственных лиц, только преступную тупость и дикую халатность.

                                                                                                                                  Хотя чего еще ожидать от тех, кто хранит пароли крупнейшей фирмы в файле?

                                                                                                                                  зы
                                                                                                                                  думаю что скоро этот «директор» да и не только он, будут искать новую работу.
                                                                                                                                    0

                                                                                                                                    Вопиющий факап Киевстар никто не отрицает, это фактически подтверждается комментарием представителя компании. Хз, что там происходит, на самом деле.


                                                                                                                                    Единственное, в чём имхо они молодцы — в самом факте существования багбаунти, но подобные факапы, конечно, сильно отбросят их назад.

                                                                                                                                      0
                                                                                                                                      Единственное, в чём имхо они молодцы — в самом факте существования багбаунти

                                                                                                                                      Допустим у вас есть «штурмовой бронещит» из… нескольких листов бумаги. Поможет? Ну только если по ту сторону помрут от дикого ржача.
                                                                                                                                      Так что толку от такой программы (которая никак не работает — выше уже Jarvis7 habr.com/post/418591/#comment_18949051 это хорошо разъяснил) нуль.
                                                                                                                            +8
                                                                                                                            Кажется, вы не совсем там ищете «нарушение профессиональной этики». (Причём вы в одиночестве придерживаетесь мнения, что нарушены какие-то нормы. Вполне возможно, вами для себя придуманные, но это неважно).
                                                                                                                            Компания Киевстар здорово накосячила. Вместо извинений (а за наплевательство к безопасности персональных данных нужно извиняться и очень-очень усердно) предствитель компании в слегка хамском тоне начал откровенно лгать, выгораживая Киевстар в виде «да чо вы тут траблы нашли, с кем не бывает, а исследователь мудак и не лечится».
                                                                                                                            Как вам подобная этика? Судя по тому, что вы это всё не упомянули — для вас нормально.
                                                                                                                            Хотя реально достаточно было сказать «ой, звиняйте, ужасный косяк, наша новая секретарша Леночка принесла с улицы котёнка и тот забежал на клавиатуру мышка хвостиком махнула, нажал отправить емейл, мяукнул и напрудил на клавиатуру. Леночку пожурили, котёнка накормили и пристроили, ещё раз дико извиняемся, больше так не будем, пароли в явном виде больше не хранятся, а больше полтинника заплатить не можем, ибо случай формально не подпадает под наши условия и чуть что, акционеры спросят лично с того, кто выделит деньги. Кланяемся, мир, дружба, Киевстар. Всем хорошего дня. Ня.»
                                                                                                                            Сложно? Корона упадёт?
                                                                                                                            Вообще на месте пиарщиков конкурентов я уже посылал бы переработанную статью на все крупные новостные порталы приговаривая «вот же пруха какая, да нахаляву».
                                                                                                                              0
                                                                                                                              По поводу этики я описал выше ответом Superl3n1n, повторяться не вижу смысла. По поводу косяков — согласен, вероятно, какая-то оф.позиция должна быть вместе с перепиской и с извинениями.

                                                                                                                              Компания Киевстар здорово накосячила. Вместо извинений (а за наплевательство к безопасности персональных данных нужно извиняться и очень-очень усердно)


                                                                                                                              Поддерживаю, но судя по всему, там не было персональных данных.

                                                                                                                              Хотя реально достаточно было сказать «ой, звиняйте, ужасный косяк, наша новая секретарша Леночка принесла с улицы котёнка и тот забежал на клавиатуру мышка хвостиком махнула, нажал отправить емейл, мяукнул и напрудил на клавиатуру. Леночку пожурили, котёнка накормили и пристроили, ещё раз дико извиняемся, больше так не будем, пароли в явном виде больше не хранятся, а больше полтинника заплатить не можем, ибо случай формально не подпадает под наши условия и чуть что, акционеры спросят лично с того, кто выделит деньги. Кланяемся, мир, дружба, Киевстар. Всем хорошего дня. Ня.»


                                                                                                                              Угу, вообще удивительно, почему никто этого до сих пор не сделал. Хотя почему-то уверен, что реакция и хайп были бы аналогичны, исходя из пропорции проголосовавших.
                                                                                                                                0
                                                                                                                                > Причём вы в одиночестве придерживаетесь мнения, что нарушены какие-то нормы

                                                                                                                                Далеко не в одиночестве. Не надо по хабракомментаторам судить о сообществе в целом.

                                                                                                                                > Компания Киевстар здорово накосячила.

                                                                                                                                Этот абсолютно верное утверждение никак не пересекается с тем фактом, что требовать деньги за случайно попавшую в руки конфиденциальную информацию не есть хорошо.
                                                                                                                                  +3
                                                                                                                                  Где Вы увидели требование денег? В статье и представленной переписке пока видна только сумма, во сколько компания оценивает данную утечку.
                                                                                                                                    –4
                                                                                                                                    Да-да, а автор ничего от них не хотел. :/ Извините, вот тут без комментариев. Имеющий глаза да увидит, а вступать в демагогию подобного уровня уже совсем неинтересно.
                                                                                                                                      +5
                                                                                                                                      Хотеть и требовать это абсолютно разные вещи. И очень просто подменять эти понятия, так как тебе это удобно. А далее сказать, что продолжать этот разговор уже не интересно.
                                                                                                                                    +2

                                                                                                                                    Не за информацию. За сведения о том, что эта информация практически общедоступна (достаточно Яндексу эту ссылку проиндексировать и она будет видна всем).


                                                                                                                                    За само неразглашение паролей никто ничего не требовал, насколько я понимаю.

                                                                                                                                    0
                                                                                                                                    Тоже очень разумно, если совсем киевстар жлобы заплатить. Исследователю будет приятно, уже в общественность он не понесет этот кейс, ну или это уже будет совсем другой разговор.
                                                                                                                                    0

                                                                                                                                    Как можно нарушить правило платформы сообщением о баге, который не попадает под программу выплаты вознаграждений? Притянуть за уши конечно можно (раз отправил им сообщение, то теперь оно секретно, даже если не подходит), но по профессиональной этике — это либо баг (и стоит соблюдать секретность), либо не баг — и в чем тогда проблема рассказать? Замечу, что никакие пароли он не опубликовал. Только рассказал, что пароли были.

                                                                                                                                      –1
                                                                                                                                      Как можно нарушить правило платформы сообщением о баге, который не попадает под программу выплаты вознаграждений?


                                                                                                                                      Участием в багбаунти программе.

                                                                                                                                      но по профессиональной этике — это либо баг (и стоит соблюдать секретность), либо не баг — и в чем тогда проблема рассказать?


                                                                                                                                      несмотря на количество минусований, как по мне основных проблем две. 1. Алгоритм «принял участие в программе — получил шарово файл с паролями — захотел срубить денег — в отместку публиканул на хабре». Имхо именно это и есть нарушением профессиональной этики.
                                                                                                                                      2. Халатность Киевстар и отсутствие фактажа и оф.позиции по этому вопросу (ичсх, подобная халатность встречается независимо от уровня/размера/оборота компании).

                                                                                                                                      Жмотства лично я исходя из алгоритма в пункте 1 увы, но не вижу. Мне лично малость грустно от того, что такое количество людей алгоритм 1 вообще не рассмотрели, он тут тупо между строк читается (и да, это моё мнение и как бы не защищаю Киевстар).

                                                                                                                                        +4
                                                                                                                                        Вы уже второй день обиду гложете. Даже если автор опубликовал статью «в отместку». Он не выложил файл с паролями в сеть. Он показал, с какой компанией связываться не стоит!

                                                                                                                                        и да, это моё мнение и как бы не защищаю Киевстар

                                                                                                                                        Да, фраз о том, что Киевстар хороший у Вас не было. Но Вы постоянно говорите, что ТС негодяй.
                                                                                                                                          –2

                                                                                                                                          Я точно ни на кого не обижаюсь. И неизвестно, что он выложил или не выложил.


                                                                                                                                          Просто алгоритм действий ТС, который описал выше — это не о Хабре имхо.

                                                                                                                                          +1

                                                                                                                                          В отместку или не в отместку, а я за публикацию. Я за публикацию даже когда вознаграждение выплатили (хотя понимаю, что это возможно намного реже). Не сторонник я Security through obscurity.


                                                                                                                                          То есть если это баг, публиковать стоит позже, когда его закрыли. А если ерунда, меры уже приняты, да и воспользоваться уязвимостью не выйдет (ссылку на файл не дали) — не вижу проблемы. А вы?


                                                                                                                                          "Репутацию" в качестве довода не считаю. Репутация складывается из того, что компания делает, а не из того, что она скрывает. Сохранять репутацию, скрывая проблемы — вот это точно нарушение профессиональной этики.

                                                                                                                                            –2
                                                                                                                                            То есть если это баг, публиковать стоит позже, когда его закрыли. А если ерунда, меры уже приняты, да и воспользоваться уязвимостью не выйдет (ссылку на файл не дали) — не вижу проблемы. А вы?

                                                                                                                                            Я вижу проблему сугубо в подходе к снаряду. Т.е. то, что ТС руководствовался личными мотивами, а не объективным освещением данного кейса. Публикация — маст хев, но не отсебятинка, а нормально подтверждённая фактами история с выводами и советами. Кстати, на месте ТС-а я бы опубликовал всю переписку в этом посте сразу (нарушать, так нарушать).

                                                                                                                                            Сохранять репутацию, скрывая проблемы — вот это точно нарушение профессиональной этики.

                                                                                                                                            да, со стороны Киевстара в этом случае. И я за то, что уже написал dimaviolinist по части извинений и констатации вопиющего факта со стороны провинившейся компании.

                                                                                                                                            P.S. к кому ещё мог попасть этот файл и попал ли — думаю, что вряд ли узнаем.
                                                                                                                                            +2
                                                                                                                                            публиканул на хабре». Имхо именно это и есть нарушением профессиональной этики.
                                                                                                                                            Послушайте, но на Хабре, и не только, регулярно публикуют найденные баги, и если это произошло таким образом, что конфиденциальная информация не пострадала, и неправомерного доступа к ней не образовалось, то никто не считает такую публикацию нарушением профессиональной этики.
                                                                                                                                              –2
                                                                                                                                              Послушайте, но на Хабре, и не только, регулярно публикуют найденные баги, и если это произошло таким образом, что конфиденциальная информация не пострадала, и неправомерного доступа к ней не образовалось, то никто не считает такую публикацию нарушением профессиональной этики.

                                                                                                                                              да, публикуют и это прекрасно. Каждый из предоставленных вами примеров — результат нормального исследования. А не перебор ссылочек из html-файла, утекшего от сотрудника какой-то компании.

                                                                                                                                              С параллельным участием в BB-программе этой компании, паралельным получением утёкшего html-файла и публикацией на хабре с целью поднять ЧСВ и проучить оную компанию / доказать её неправоту.
                                                                                                                                                +4
                                                                                                                                                То есть, не задолбался, значит нещитово?
                                                                                                                                                Тут вот в соседней теме товарищ объясняет, что программист на афедроне сидит, а грузчики мешки таскают, и поэтому программисты столько сил не тратят, и должны работать 60 часов в неделю за еду, а кому не нравится — вон из профессии (да, я несколько утрирую). Скажите из интереса: а если бы автор скачал с сайта вседляхакера.ру суперэксплойтдлясайтов.ехе, ввел бы адрес Киевстара в поле «цель атаки» и нажал бы кнопку «взломать» (а Киевстар возьми и сломайся) — он тоже не мог бы претендовать на приз? Потому, что скачал с сайта, а не сам написал?

                                                                                                                                                Кажется, мы с вами несколько по-разному оцениваем действия. Вы по затраченным усилиям и умыслам-замыслам, а я (судя по комментам, не я один) по результату.
                                                                                                                                                Вот и получается, что в вашем случае злой автор пытался срубить денег на халяву, а когда не прокатило, отомстил публикацией, а в моем утечка была, об утечке известили, об утечке рассказано публике без критических подробностей, то есть весь процесс полностью попадает в этические рамки.
                                                                                                                                      +3

                                                                                                                                      Профессиональная этика возникает профессиональной деятельности.
                                                                                                                                      Здесь онной нет, значит и нарушать нечего.


                                                                                                                                      ps: профессиональная деятельность — это не птоказатель уровня умений, а деятельность, связанная с получением дохода на регулярной основе.

                                                                                                                                        –2

                                                                                                                                        Т.е. вы считаете, что багхантингом и написанием тут постов занимаются нубы? Профессиональная этика и деятельность — это два разных понятия. Да, конкретно в этом случае ТС хотел получить доход, ничего не делая, но это не меняет сути.

                                                                                                                                          +1

                                                                                                                                          Можно быть отличным специалистом в какой-то области, но оставаться в ней любителем.
                                                                                                                                          Профессиональная деятельность начинается с доходом на регулярной основе.

                                                                                                                                            0
                                                                                                                                            подождите, но отсутствие профессиональной деятельности != отсутствие профессиональной этики, разве нет?

                                                                                                                                            Если я вне работы (на которой починяю примусы) поломаю кому-то примус (никак не связанный с работой), то это профессионально или нет?
                                                                                                                                              +1
                                                                                                                                              Отсутствие профессиональной деятельности == отсутствие профессиональной этики.
                                                                                                                                              Профессиональная этика — набор нравственных норм, связанных с осуществлением профессиональной деятельности (а вовсе не с уровнем профессионализма).
                                                                                                                                              Случай с примусами в принципе не имеет никакого отношения к этике, ни к профессиональной, ни какой иной.

                                                                                                                                              Более внятный пример —
                                                                                                                                              Вася адвокат, защищает Петю в суде.
                                                                                                                                              В ходе работы по разбирательству в деле Васе становятся известны доказательства вины Пети. Профессиональная этика не позволяет Васе оглашать ставшие известными ему факты.
                                                                                                                                              Но если Вася случайно (т.е. не исполняя профессиональные обязанности) становится свидетелем того, как Петя грабит магазин, то никакая профессиональная этика не запрещает ему давать показания.
                                                                                                                                                –2
                                                                                                                                                спасибо за отличный пример и аргументацию. Но если человек хочет получить деньги / вознаграждение за какие-либо свои действия + собственное развитие, то он всё же осуществляет профессиональную деятельность. Багхантинг за деньги — это не совсем про увлечение.

                                                                                                                                                Лично меня в этом кейсе бесит не только халатное отношение к паролехранению, но именно то, что ТС вообще ничего не потрудился сделать, чтобы получить этот файл. Да, не ок хранить так пароли и возникают вопросы к компетентности сотрудников и к компании вообще. Не ок отправлять письма, не проверив адресата. Не ок не удалять автоматом письма, которые предназначены не тебе (тут уже вопрос другой этики). Но также не ок на волне личных обид выносить сор из избы, когда ты согласился ранее это не делать.
                                                                                                                                                  +2
                                                                                                                                                  Лично меня в этом кейсе бесит не только халатное отношение к паролехранению, но именно то, что ТС вообще ничего не потрудился сделать, чтобы получить этот файл.

                                                                                                                                                  Ну почему же ничего не сделал? Он проверил 113 ссылок. И одна таки сработала.

                                                                                                                                                  Цитата из статьи:
                                                                                                                                                  Всего в файле было 113 закладок. И среди разнообразных ссылок, как по работе (которые не открывались из внешней сети), так и не очень, затесалась одна, открыв которую мои глаза стали по пять копеек.
                                                                                                                                                    –2
                                                                                                                                                    Ну почему же ничего не сделал? Он проверил 113 ссылок. И одна таки сработала.


                                                                                                                                                    Я имею в виду сам метод получения файла и факт того, что человек желает вознаграждение за это. Если бы он был найден примером, через индекс гугла / яндекса или получен через публичные каналы коммуникации — вообще не вопрос. Это достойная вознаграждения работа даже в out of scope
                                                                                                                                                    +1
                                                                                                                                                    Багхантинг за деньги — это не совсем про увлечение.


                                                                                                                                                    В основном — про увлечение. Для квалифицированного специалиста этот источник дохода очень ненадежен (и весьма скуден).
                                                                                                                                                    Среди моих знакомых, занимавшихся исследованием чужих программных продуктов, большинство делало это just because it is fun в свободное от основной работы время.
                                                                                                                                                    Когда же процесс оборачивается каким-то результатом — встает вопрос, что с этим результатом делать:

                                                                                                                                                    1) Тихонечко молчать и наслаждаться своей крутостью в одиночесве
                                                                                                                                                    2) Бескорыстно обнародовать на паблик для всеобщего признания
                                                                                                                                                    3) Эксплуатировать самому для темных дел
                                                                                                                                                    4) Продать на сторону
                                                                                                                                                    5) Участвовать в bug-bounty программе

                                                                                                                                                    Варианты 1 и 2 — на любителя
                                                                                                                                                    2,3,4 — имеют некоторые проблемы с законом
                                                                                                                                                    3 — самый палевный и сложно реализуемый
                                                                                                                                                    3, 4 обеспечивают потенциально наибольший доход, поэтому если выбирать из всех вариантов 'профессиональную деятельность', то это сюда ) и профессиональная этика там тоже есть, но малость другая.

                                                                                                                                                    А вариант 5… Приносит и общественное признание и индульгенцию и некоторую денюжку, как правило весьма скромную. Как раз то, что нужно любителю.

                                                                                                                                                    ТС вообще ничего не потрудился сделать, чтобы получить этот файл
                                                                                                                                                    1) если это действительно так, то тем более ни о какой профессиональной этике речи идти не может.
                                                                                                                                                    2) я бы тоже говорил 'файл сам пришел', независимо от способа, которым он был реально добыт.
                                                                                                                                                      –2
                                                                                                                                                      1) если это действительно так, то тем более ни о какой профессиональной этике речи идти не может.

                                                                                                                                                      я имею в виду то, что он принял участие в программе и согласился с её правилами. И публикацией их нарушил. Кроме того, весь сыр-бор тут из-за денег, а деятельность за деньги — это как раз та самая профессиональная деятельность.

                                                                                                                                                      2) я бы тоже говорил 'файл сам пришел', независимо от способа, которым он был реально добыт.

                                                                                                                                                      Исходя из вашего описания non-profit деятельности есть большое подозрение, что посыл конкретно вашего поста в этом случае был бы не о деньгах ) Хотя, возможно, я заблуждаюсь.
                                                                                                                                                        +1
                                                                                                                                                        я имею в виду то, что он принял участие в программе и согласился с её правилами. И публикацией их нарушил.

                                                                                                                                                        Цитирую начальника:
                                                                                                                                                        Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.

                                                                                                                                                        Другими словами информация которую передал хакер не подпадает под условия «Bug Bounty Киевстара», значит и обязательств никаких по этой программе у него нет. Нельзя нарушить правила тем что не подпадает под правила. Ну в смысле хакер думал что подпадает, а начальник считает что нет.
                                                                                                                                                        Кроме того, весь сыр-бор тут из-за денег, а деятельность за деньги — это как раз та самая профессиональная деятельность.

                                                                                                                                                        Странное утверждение. Не все что делается за деньги — профессиональная деятельность.
                                                                                                                                      +2
                                                                                                                                      Как то странно видеть в одном предложении слово «уважаемый» и обращение «вам» с маленькой буквы.
                                                                                                                                        +1

                                                                                                                                        Возможно, но я рукодствуюсь ответом Розенталя по этому вопросу https://www.artlebedev.ru/kovodstvo/sections/165/

                                                                                                                                          +2

                                                                                                                                          В письме вообще-то говорится, что "прописная буква… пишется только при обращении к одному лицу..., при этом обычно в личной переписке". А вот это:


                                                                                                                                          В качестве особого исключения можно писать Вы при личном обращении к невероятно уважаемому человеку (у каждого таких адресатов в жизни наберется человека три).

                                                                                                                                          уже какая-то отсебятина Лебедева.

                                                                                                                                            0
                                                                                                                                            уже какая-то отсебятина Лебедева.

                                                                                                                                            скорее всего отсебятина, но вот Розенталь всё-таки ответил относительно замечания Superl3n1n :)

                                                                                                                                            имхо это немного оффтоп относительно к поднятой теме.

                                                                                                                                  +5
                                                                                                                                  Два дня назад удивился, словив Киевстар на повторном воровстве денег с абонентского счета. Причем в первый раз, месяца полтора назад, извинились и вернули деньги, а сейчас послали лесом. Я так и не понял, «что это было» — технический баг, или их корпоративная политика. Теперь думаю, судя по этой истории, что может быть и хуже, что кто-нибудь внизу этой большой красивой корпорации автономно вышивает крестиком по абонентской базе, и концов не найдешь.
                                                                                                                                    +1

                                                                                                                                    Похоже что это какая-то фирменная фишка операторов — играть роль наперсточников и придумывать новые способы грабежа.


                                                                                                                                    То "посекундная тарификация" с оплачиваемой каждой первой секундой минуты, то "4-недельные" тарифы вместо месячных. То самоменяющиеся тарифы, которые нельзя поменять в идиотском "My Kyivstar" обратно, пока он не сменится. И это не говоря про всякие 'случайно' включившиеся гудки и прочую чушь.


                                                                                                                                    Вот честно, вообще не жалко их. Даже если бы утекло всё это куда-то прям с паролями.

                                                                                                                                      0
                                                                                                                                      Согласен. КС в последние годы как-то уж очень в это все заигрался. Лично для меня это было последней каплей, в тот же день отказался от контрактного номера, которому 15 лет.
                                                                                                                                    0
                                                                                                                                    по этой программе Киевстар будут денежные «спасибо» до $3k
                                                                                                                                    ain.ua/special/kyivstar-bug-bounty
                                                                                                                                      –15
                                                                                                                                      Немного не понимаю, зачем этот пост. Принимая участие в BugBounty вы принимаете условия, где оговорено за что конкретно можно получить деньги. Требовать что-то свыше за, по сути, прилетевшее на почту письмо с вложением не вижу резона.
                                                                                                                                        +7
                                                                                                                                        Вы решили сегодня зарегистрироваться на Хабре, для того, чтобы написать комментарий о том, что Вы не понимаете зачем этот пост?
                                                                                                                                          –2
                                                                                                                                          Я вообще зарегился сегодня для других задач. Это просто первое что под руку попалось. Остальное пока понятно :)
                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                            +2
                                                                                                                                            Идете вы по улице и роняете ключи от машины, за Вами идет человек и видит это. Как бы Вы хотели чтобы этот человек поступил:
                                                                                                                                            1) Поднял ключи, окрикнув Вас и передал их Вам.
                                                                                                                                            2) Поднял ключи, угнав машину и расспродал ее на запчати.
                                                                                                                                            3) Поднял ключи, угнав машину, сбил человека на этой машине и скрылся.

                                                                                                                                            Можете еще придумать… Следующий вопрос, а как Вы считаете нужно мотивировыть других людей поступать как в пункте 1)?
                                                                                                                                              +1

                                                                                                                                              4) прошел мимо, не обратив внимания


                                                                                                                                              Вполне законно, но проблемы с ключами будут. И вот действительно, как по-вашему мотивировать поступать как в пункте 1, а не 4?

                                                                                                                                                –1
                                                                                                                                                Я считаю, что нормального человека на п.1 вообще не надо мотивировать, ибо это нормальное поведение по умолчанию. И, если мораль в некоторой среде уехала настолько, что ее на такое надо «мотивировать»… ну, рано или поздно эта среда будет огребать от остального общества.
                                                                                                                                                  0
                                                                                                                                                  С машиной много мороки. Замените машину на пачку банкнот.

                                                                                                                                                  Кроме того, не забудьте что человек, идущий за вами знает, что за ним пройдет еще много людей и если он ничего не сделает (пройдет мимо), они точно деньги увидят.
                                                                                                                                                +2
                                                                                                                                                50$? Хех. Был бы наш Ростелеком — дело бы завели, и платить big bounty пришлось бы ТС. Неофициально. Вот так и помогай людям.
                                                                                                                                                В тему: однажды как-то попробовал людям помочь, дотащил мужика до квартиры, а потом внезапно «у него была сумочка барсетка, ты ее взял и спрятал по пути, а в ней 500 тыщ р. было отдавай». С применением ниндзя-дзюцу убежал по потолку и теперь на такое не ведусь. А ведь — знал о таких схемах развода. С другой стороны, вот такие вот реверсивные жадины, как РТ, дискредитируют остальных (им может и в плюс?). Проще слить базу чем баунти с риском присесть.
                                                                                                                                                  +4
                                                                                                                                                  Если рассматривать чисто из «политики bugbounty», то киевстар мог вообще ничего не платить. Если рассматривать как кейс компроментации данных компании, то лучше бы киевстару заплатить. Пусть и не 3000$, но 1-2к$ можно было выплатить за порядочность. Благодаря этой статье ни один баг хантер больше не отправит киевстару high или critical уязвимость (слышавший о текущей истории), лучше продать третьей стороне. Говорю как баг хантер. В перспективе киевстар может потерять десятки тысяч долларов, и в этом будет виноват сам киевстар.

                                                                                                                                                  P.S. если бы киевстар вообще ничего не заплатил, а дал только репутации, это было бы адекватнее. Можно было бы сослаться на политику багбаунти, возможно выдать какой то подарок и все. Выплатить 50$ это как дать на благотворительность 10 копеек.
                                                                                                                                                    +1
                                                                                                                                                    Что самое фиговое, это не только киевстар таким занимается. Тут где-то проходили статьи о том, что и другие компании грешат этим. И наши, и не наши. А кое — где грозят судом. Чего ж удивляться? Корпоративный и отписочный подход дискредитирует саму идею баунти.
                                                                                                                                                    Но про киевстар могу предположить, что они, как провайдер, имеют людей в коллцентре больше, чем админов. И, мало того, админы и поддерживающие прогеры получают очень не шибко много. Равно как и остальные сотрудники. Подход «да у меня грузчики столько не получают»(с) во всей красе. Это цитата одного человека, которому я подрядился делать видеонаблюдение, потому что «фирма отказалась». Фирма отказалась оттого, что здания дореволюционной постройки, и как они выкатили ему счет за бурения каменных стен, он и сдулся. Я все сделал. И внезапно, получил я… пицот рублей. Я конечно, потом с него стряс что хотел, но осадок остался. happy? Неа. Это жлобство повсюду что-то.
                                                                                                                                                      +6
                                                                                                                                                      Вот яркий пример того, как из whitehat люди становятся blackhat. А потом эти же компании, вроде киевстара, ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
                                                                                                                                                      +4
                                                                                                                                                      А может...?
                                                                                                                                                      >>киевстар может потерять десятки тысяч долларов, и в этом будет виноват сам киевстар.
                                                                                                                                                      Да какое дело топам до бюджета компании? Компания может и потеряет, а тот, чо чьей указивке было, весь белый и в манишке. И ничо ему не будет, это же злые хакеры. Вот инструкции, никто не нарушил, как обычно.
                                                                                                                                                      Эффективные, одним словом.
                                                                                                                                                      +3
                                                                                                                                                      Несколько раз пытался получить эту «bugbounty». В итоге за обход авторизации, и по факту возможность слить большую часть абонбазы мог получить 20$. От вознаграждения отказался.
                                                                                                                                                      В итоге, компания «Киевстар» — жлобы еще те.
                                                                                                                                                      Еще хуже скажу, не один из крупных операторов связи Украины особо платить денег за уязвимости не собираются.
                                                                                                                                                        +2

                                                                                                                                                        Ганьба!

                                                                                                                                                          +3
                                                                                                                                                          Само наличие файла с паролями в excel уже как бы говорит о том, что «Digital отдел Киевстара» безопасность провалил. Вне зависимости от того, считают они это уязвимостью или нет.

                                                                                                                                                          Заграницей такой кейс обычно влечет кучу извинений и увольнения ключевых сотрудников.

                                                                                                                                                          Интересно, что произойдет с Soultan.
                                                                                                                                                            +3
                                                                                                                                                            Интересно, что произойдет с Soultan.

                                                                                                                                                            Ничего.
                                                                                                                                                              0
                                                                                                                                                              Написали же — отстранили сотрудницу, отправившую файл.
                                                                                                                                                              По моему скромному мнению — сотрудница далеко не самая виноватая.
                                                                                                                                                            +2
                                                                                                                                                            Я завидую автору, точнее его несгибаемой вере в доброе, разумное и светлое, даже в таких клоаках как сотовые операторы
                                                                                                                                                              +2
                                                                                                                                                              Вот яркий промер того, как из whitehat люди становятся blackhat. А потом эти же компании вроде киевстара ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
                                                                                                                                                                0
                                                                                                                                                                вообще, имея таков прецендент, больше не буду спрашивать «откуда у Вас мой номер» когда неизвестные люди парят очередной раз неизвестные услуги, объясняя: ваш намер нам передал(и\о) агенств(а\о)… если у них пароли вот так гуляют…

                                                                                                                                                                вернул — и правильно, от греха подальше, хлопот потом больше чем выручки… но данные подобного рода существенно бизнесу могут навредить.

                                                                                                                                                                я думаю, такие случаи, нужно придавать огласке, привлекать государственные органы отдавая полученные материалы, привлекать СМИ и т.п., киевстар далеко не благородная компания и наглостью порой очень надоедают (мне, как постоянному клиенту)… пусть бы вкусили этого пирога…

                                                                                                                                                                и как данные свои личные им доверять, если безопасность видимо постоенная никак…

                                                                                                                                                                и конечно, никто за это отвечать не будет, потому они типо и замяли дело кинув $50, а может и кто из своего кармана, чтобы в отчетности это не фигурировало…

                                                                                                                                                                кто его знает )
                                                                                                                                                                  0
                                                                                                                                                                  Что интересно — когда «так у всех» даже некуда бежать, не сменишь оператора на надёжного. Пока они пиарятся на «мы не подключаем вам услуги незаметно, ну… почти не подклбючаем и не сильно наглеем» и никто «мы заботимся о безопасности», разве что дежурная фраза в брошюрках с реальностью в экселевских файлах.
                                                                                                                                                                  +5
                                                                                                                                                                  Мда, вот так и умирает надежда в «доброе, хорошее, светлое». Вот серьёзно — можно же было найти компромисс — хоть данные и попали случайно, но данная случайность позволила вскрыть столько недочётов в безопасности. Тут радоваться нужно и хвататься за голову «а ведь это обратился только 1 человек, а сколько посторонних может иметь доступ и тихо им пользуется?». В самый раз было бы выплатить хотя бы 500-1000$, что бы человек промолчал и самим в темпе заняться ликвидацией.
                                                                                                                                                                  Хорошо, человек пришёл сюда и поделился ситуацией. Просто вот как есть — жадные и тд. Но представитель компании продолжает наступать на грабли, видимо стараясь ухудшить репутацию своей компании, пробив ею дно. Нет бы просто отмазаться — «простите, извините, политика компании и тд, мы очень ценим Ваши старания», дать какой-нибудь презент — да тот же интернет или ещё что. Как альтернатива — хотя бы сказать «ой, сотрудник ошибся, нолик недописал в выплате». И все довольны, компании кричат — вот Вы молодцы, быстро и адекватно реагируете на ситуацию. Но нет — надо хамить, пугать «Вы соглашение нарушили», выставлять автора вымогателем и тд.
                                                                                                                                                                  И добилась эта компания лишь того, что 1) Компетентные люди не раз подумают, а стоит ли вообще связываться с ней и 2) Что помогать ей — себе дороже, лучше загнать данные либо «повеселиться».

                                                                                                                                                                  P.S.
                                                                                                                                                                  Я удивлён, что в новостях этого ещё нет — ведь компания мало того, что не признала факт открытой уязвимости, да хоть в отсутствии элементарной двухфакториалки — «Проблема не требует устранения конкретной уязвимости в одном из сервисов компании.», так ещё и пытается с помощью подтасовки фактов и обвинений в шантаже испортить деловую репутацию человека, который помог им обнаружить подобные недочёты.
                                                                                                                                                                    +3
                                                                                                                                                                    Как альтернатива — хотя бы сказать «ой, сотрудник ошибся, нолик недописал в выплате».

                                                                                                                                                                    $0,50
                                                                                                                                                                    +1
                                                                                                                                                                    С одной стороны подход «сколько это могло нанести вреда» не совсем правильный. Уборщица в серверной одним ведром может уронить на «100 тыщь мильйонов» (с) и заявить об этом в багрепортах в ожидани 5800$ не совсем правильно.
                                                                                                                                                                    Но отправить ведро админ доступов по почте куда попало это не фейл, это какой-то сюриализьмъ. Помня какая фанатичная в кучмастаре СБ, по 3 раза в месяц смена паролей во всё что можно запаролить, с хистори на 10 последних паролей и везде разные такой вот слив на левый адрес… Нужно было падать в ноги и циловать руки с воплями «Благодетель вы наш»
                                                                                                                                                                    Ну а по итогу — колоссальный удар по репутации, которую они сами оценили в 50$
                                                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                        +1
                                                                                                                                                                        Интересно откуда взялась цифра $5 800, при таком перечне доступных сервисов.

                                                                                                                                                                        IMHO автор немного ошибся
                                                                                                                                                                        Надо было либо писать о проблеме за рамками BB, — «вот мне тут прислали интересный мейл с открытыми доступами». И наивно надеяться на щедрость КС.
                                                                                                                                                                        Либо, пользуясь таким джокером, найти выход на присланные ресурсы в рамках ВВ и потом уже отправлять заявку.

                                                                                                                                                                        За пост — спасибо, стало понятно почему деньги со счетов пропадают ))
                                                                                                                                                                          +2
                                                                                                                                                                          Извините за небольшой оффтоп (не про КС, про МТС), но:
                                                                                                                                                                          пришла смс о «подключенной услуге удивительного общения на одном сайте, стоимостью 3.50 в день. Если не хотите — смс на тот же номер со словом „СТОП“. Окай — делаю, отключается.
                                                                                                                                                                          Месяц — повторная штука, и опять минус 3.50 в день. Звоню. Выясняю, что это не третье лицо, не левая компания, а доп услуга, и „отключить мы не можем, пишите смс об отказе“… а триписят-то ушло уже :)

                                                                                                                                                                          К чему это я…
                                                                                                                                                                          Автор, почитав Ваши посты и комментарии (кстати удивляюсь Вашей толерантности к происходящему) хочу высказать Вам респект. Вы — молодец, и у Вас здорово получается, жаль только, что хамьё, жульё и проходимцы попадаются на пути, как бы подталкивая делать подобные вещи (продать на сторону и прочее).
                                                                                                                                                                          Надеюсь справедливость воссторжествует )
                                                                                                                                                                            0
                                                                                                                                                                            Огромное спасибо автору за пост, очень интересно всплывет ли снова Soultan в комментариях.
                                                                                                                                                                              +5
                                                                                                                                                                              Читаю претензии к автору и просто поражаюсь.

                                                                                                                                                                              — Ало, милиция тут маньяк с топором бегает рубит всех, уже 5 человек в крови! спасите!
                                                                                                                                                                              — С начала поздоровайтесь, а потом уж говорите…
                                                                                                                                                                              — Ну, здравствуйте, тут маньяк уже 10 человек…
                                                                                                                                                                              — (перебивая) Какое «НУ» вы что из деревни?
                                                                                                                                                                              — Да, тут людей убивают!
                                                                                                                                                                              — Это не отменяет культуру общения.
                                                                                                                                                                              — Он уже всех убил, за котят принялся!
                                                                                                                                                                              — И все же с начала извинитесь, за вашу безкультурность.
                                                                                                                                                                              — Какая культура? Тут люди гибнут, котята мрут…
                                                                                                                                                                              — И все же, это не мы вам звонили, а вы нам, нагрубили, нахамили. Как вы говорите вас зовут? вот вам повестка в суд за оскорбление при исполнении.

                                                                                                                                                                              Что за хамы кругом, ужас, невозможно работать.
                                                                                                                                                                                0
                                                                                                                                                                                Шикарнейший фейл ))

                                                                                                                                                                                но $50 за добропорядочность да, маловато, тем более для компании

                                                                                                                                                                                Если бы я потерял кошелёк с правами, деньгами, паспортом, ключами (допустим большой кошель), то нашедшего, вернувшего всё это, определённо большей суммой наградил бы )
                                                                                                                                                                                  0
                                                                                                                                                                                  Возможно, самый сильный ответ от телеком-компании на тему уязвимостей и вознаграждений в моей практике:
                                                                                                                                                                                  В ответ на ваше письмо сообщаем, что Компания заинтересована в устранении уязвимостей, однако у нас не применяется практика выплаты вознаграждения. За информацию, оказавшуюся полезной, будет предоставлено рекомендательное письмо от Компании «белому хакеру», в глазах профессионального сообщества оно ценится.


                                                                                                                                                                                  Я долго думал, отправлять ли им информацию о нескольких критических уязвимостях, но потом они сам исчезли из переписки. Так что 50$ — это уже неплохо :)
                                                                                                                                                                                    0
                                                                                                                                                                                    Официальное рекомендательное хоть получили?
                                                                                                                                                                                      0
                                                                                                                                                                                      Нет, когда я ответил, что согласен попробовать так «поработать», то представители компании перестали отвечать на сообщения.
                                                                                                                                                                                    +1
                                                                                                                                                                                    думая о произошедшем с ББ от Киевстар, я представляю себе щеночка, такого маленького пёсика, темненького и с беленьким ушком. Хвостик крючком. И вот этот пёсик потерялся: а его ведь очень любили, и девочка Люся ждала, когда же её мама и папа, успешные сотрудники мобильного оператора ЭнскСтар, в счастливой семье которых ей повезло родиться, купят милого щеночка. Этот вопрос долго обсуждался на многочисленных родительских советах, и в итоге, принимая всю ответственность и получив Самое Честное Слово от Люси, что она будет заботиться о питомце, любящие и любимые родители решились на серьезный шаг: теперь у них будет новый, преданный друг, практически член семьи. В доме появился щенок и его заливистое, радостное тявканье враз преобразило уютную квартиру Люси: это чудесное изменение лучиком коснулось каждого, и Люся, и ее папа с мамой, были счастливы. И щеночек был счастлив. Они назвали его Бимкой. Все складывалось замечательно, пёсик рос, был очень игривым и занятным. Но в один из хмурых, пасмурных дней стряслась беда: во время прогулки Бимка испугался шума проезжавшей Ламборгини и со всех лап бросился бежать в сторону, через парк, куда-то в чужие дворы. Остановившись он жалобно заскулил, потому что совсем не знал, куда ему идти. Очутившись в совершенно чужом ему месте, он испугался и в панике метался среди одинаковых домов. Люся же, после безуспешных поисков, рыдая, вернулась домой. Ее горе не могли унять мама с отцом, они и сами были очень подавлены. Тяжелые мысли одолевали их, а тяжелое ощущение беды закралось в каждый уголок их некогда уютной квартиры.
                                                                                                                                                                                    Тем временем, по улице Яблочной, недалеко от клуба юных робототехников «Зеленый Дроид», шел по делам Вася Городокин. В хорошем настроении, он возможно и не заметил бы двух неопрятных личностей без определенного места жительства, если бы не поскуливание породистого щенка с белой отметиной на ухе. Один из явно нетрезвых, бомжеватого вида мужчин, держал щенка за загривок и намеревался сделать с ним что-то нехорошее: то ли отдать в стоящий рядом киоск APT-Шаурма (поговаривают, что несмотря на творческое название, там приплачивали за мясной «материал», по живому весу), то ли просто бросить его с размаху головой об стену трансформаторной будки. Вася решительно подошел к бездомным и отобрал у них щенка. На ошейнике он увидел бирку с адресом и просьбой вернуть за вознаграждение, за три… на этом текст обрывался, так как на бирке не было места. И вот, уже через двадцать минут Вася позвонил в квартиру, указанную там. Дверь открыл папа Люси: без лишних слов, он выхватил щенка из рук Васи и молчал, меряя его хмурым взглядом.
                                                                                                                                                                                    -«Ну, я это… щенка вот нашел, у бомжей каких-то отобрал. Ваш?». Почему-то стесняясь, спросил Вася.
                                                                                                                                                                                    — «Ну, наш. Спасибо, искренняя благодарность», меняясь в лице и становясь еще более хмурым, ответил папа Люси,
                                                                                                                                                                                    — «Может, вынести вам стакан воды, из под крана?». Хриплым голосом добавил он.
                                                                                                                                                                                    — «Нет, это лишнее», ответил Василий, быстро развернулся и пошел вниз по лестнице. Еще до того, как Люсин папа закрыл дверь, он услышал детский визг счастья, тявканье, женские всхлипывания и бормотание мужчины, в котором едва улавливались отдельные слова «украл», «наркоман» и «вызывай полицию».
                                                                                                                                                                                      +9
                                                                                                                                                                                      На злобу дня.
                                                                                                                                                                                      image
                                                                                                                                                                                        0
                                                                                                                                                                                        Вас кидают, вами пренебрегают, над вами издеваются, вам плюют в лицо, открыто показывают где они вас видят и в какой форме, но вы все равно несёте им баги, чтобы вас снова унизили, вместо того чтобы продать их на черном рынке.

                                                                                                                                                                                        А потом вы идете и пишете очередную статью как вам очередной сервис провел по губам, чтобы снова начать жалостливо ныть о «совершенно неожиданной» и несправедливой реакции на ваши баги, которые вы принесли, и круг совершает новый оборот.

                                                                                                                                                                                        Мне лично вас не жаль, ваши отчаянные писульки ничего не сделают, а баги вы все равно принесёте и завтра и послезавтра, хотя тут же, в другом месте, вам предлагают суммы более чем в 100 раз большие. Вы сами отрицаете рынок и сами ноете что вам не платят. Выберите что-то одно. Либо несите туда где платят, либо не жалуйтесь, когда вас снова пнут, потому что сами вы, кроме написания этих историй, из года в год, на потеху публике, ничего для этого не делаете.
                                                                                                                                                                                          +2
                                                                                                                                                                                          Вообще, если вы более подробно расскажете (если это возможно и приемлемо для вас) о продаже багов на чёрном рынке, то я думаю, что исследователи будут благодарны (как миниму, я буду точно). Плюс, возможно, это подстегнёт компании что-то делать, хотя плюсы именно этого уже не так однозначны.
                                                                                                                                                                                            0
                                                                                                                                                                                            Давайте так скажу, прошу меня извинить(в том числе и за предыдущий очень резкий комментарий, просто не могу уже каждый год читать одно и тоже, в одном и том же тоне), места — есть, есть и мои знакомые, которые эти места используют, в том числе и автор о них упоминал. Без конкретных ссылок — биржи уязвимостей, кардерские площадки, хакерские форумы(не самый лучший вариант) и отдельные, узкие группы лиц на всяких закрытых IRC-каналах.

                                                                                                                                                                                            Вопрос здесь в том, кто это купит. А купят люди, которые смогут эксплуатировать и монетизировать полученные данные, либо, как минимум, успешно шантажировать данными, которые монетизировать лучшим образом не получилось.
                                                                                                                                                                                          0
                                                                                                                                                                                          экстраполируя этот файлик с паролями вместо криптованной базы keepass, можно предположить, что у них на амазоне какие-то критичные сервисы крутятся, причём без бэкапов
                                                                                                                                                                                            0
                                                                                                                                                                                            Жадность — порождает бедность. Жаль, что руководство Киевстара до сих пор этого не поняло.
                                                                                                                                                                                              +4
                                                                                                                                                                                              Если кому интересно, не так давно программа BugBounty Киевстара была закрыта полностью (не приватный режим, а именно закрыта), а сотрудник Soultan, который отвечал здесь на комментарии, не так давно ушёл из Киевстара.
                                                                                                                                                                                              Кстати, в комментариях под его прощальной записью об уходе из компании ему пишет «В добрый путь, Виталий!» сотрудница, которая и отправила тот злосчастный e-mail. Такие дела.
                                                                                                                                                                                                0
                                                                                                                                                                                                Это достаточно неожиданно. Получается, что информация здесь больше не актуальна?
                                                                                                                                                                                                  +1
                                                                                                                                                                                                  Финал, достойный пера романиста.
                                                                                                                                                                                                  +1
                                                                                                                                                                                                  UPD от 09.01.2019: ответы на вопросы, возникающие при прочтении данного поста + новая проблема Киевстара — habr.com/post/435074

                                                                                                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.