Целых 50$ за за найденную дыру в IT-системе Киевстар

Discussion in 'Мировые новости. Обсуждения.' started by Coost, 9 Aug 2018.

  1. Coost

    Coost Member

    Joined:
    6 Jul 2017
    Messages:
    167
    Likes Received:
    35
    Reputations:
    1
    По мнению хакера, такая работа стоит на порядок больше
    Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает Ain.ua.

    Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.

    Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.

    Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.

    Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.



    [​IMG]Список сервисов


    По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.

    Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.


    Его лицо
    [​IMG]
     
  2. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,509
    Likes Received:
    3,130
    Reputations:
    37
    эталонный сферический хохлостан дэтэктэд по всем признакам
    [​IMG]
     
    sysjuk, Ike and ol1ver like this.
  3. Turanchocks_

    Turanchocks_ Well-Known Member

    Joined:
    11 May 2013
    Messages:
    794
    Likes Received:
    1,383
    Reputations:
    10
  4. newvol

    newvol New Member

    Joined:
    9 May 2015
    Messages:
    14
    Likes Received:
    3
    Reputations:
    0
    Это и так много :)

    "Добросовестный" Divan.tv даже не захотел говорить со мной по поводу уязвимости найденной в системе платных подписок.

    Можно было оформить любую подписку при нулевом балансе на неограниченный срок.
    После звонка и разговора с техподдержкой просто сказали спасибо и отключили мой аккаунт.
    так что...

    но есть и плюсы оператор tenet (Одесса) подогнал приставку MAG 322 ну и еще кое что (просили не разглашать)
     
  5. uCryNet

    uCryNet Member

    Joined:
    11 Mar 2012
    Messages:
    50
    Likes Received:
    12
    Reputations:
    5
    Небось бабу сиськатую?
     
    Coost likes this.
  6. Gorbachev

    Gorbachev Member

    Joined:
    23 Mar 2017
    Messages:
    73
    Likes Received:
    15
    Reputations:
    0
    Давно уже пора понять, что хохлы не платят за уязвимости, поэтому пентестите сервера мордора, если повезет - посадят на бутылку.
    И главное помни, тебя дома ждет семья.
     
Loading...