Почему в Украине нет белых хакеров или история взлома Киевстар

в 7:02, , рубрики: bug bounty, информационная безопасность, киевстар, уязвимость

Вот как после недавнего поступка Киевстара можно говорить об этом славном операторе связи и провайдере интернета, что он ценит и уважает труд специалистов?

image

Один хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.

Технические подробности :
Один из шагов в процедуре привязки телефона в личный кабинет не корректно передавал параметры успешного прохождения этапа, в следствии чего шаг с смс-подверждением можно было пропустить

image

Как вы думаете, какая сумма на балансе у среднего абонента Киевстар? 5-10 грн? А у тысячи абонентов это уже до 10 000 грн. Не говоря уже об элементарной тайне переписки и СМС с кодами входа интернет-банкинга

Это критическая уязвимость, воспользовавшись которой, хакер-злоумышленник мог бы заполучить не малые деньги, а компания Киевстар потерять и деньги и репутацию

Но к счастью, информация не попала в плохие руки, хакер оказался предельно этичным и повёл себя как исследователь, немедленно сообщив организации об уязвимости, хоть ему и было тяжело доверить столь деликатную информацию даже оператору, работающего в самой компании.

И знаете, Киевстар, быстро залатав дыру в своей безопасности, оценил данную уязвимость в 3 бесплатных месяца пользования интернетом, присудив именно такую награду исследователю

Я понимаю, что с ничего платить деньги никто не рассчитывал и в бюджет это не закладывалось, но это может сыграть злую шутку с компанией в будущем, ведь некоторые IT-специалисты уже выразили своё сомнение по поводу справедливости вознаграждения.

И в правду, другой исследователь трижды подумает, а не выгодней ли будет, даже не пользоваться уязвимостью — это бы было незаконно, а продать эту информацию другим компаниям за приличные деньги, те кто разбирается в этом и понимают цену.

А данный случай лишь иной раз объясняет наличие большого колличества хакеров-злоумышленников, чем славится Украина, где не создаются условия, когда хакеру выгодно переходить на белую сторону, становясь исследователем, а компании все так же борятся и страдают, а не уважают и поощряют.

Автор в G+

Автор: rewiaca

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js