Kisah tentang kebetulan, keberuntungan, dan penghargaan.
Dua tahun lalu,
dinikin menulis
posting tentang bagaimana ia menemukan kerentanan di
dasbor operator seluler terbesar di Ukraina, Kyivstar. Kerentanan diizinkan menambahkan nomor telepon Kyivstar apa pun ke akunnya tanpa verifikasi dan mengelolanya sepenuhnya:
- lihat rincian saldo dan panggilan;
- melihat kode PUK dan nomor seri kartu SIM, yang memungkinkan Anda mengganti sendiri kartu SIM;
- menambah layanan baru dan mengubah rencana tarif;
- dan yang paling penting, transfer uang dari ponsel ke ponsel.
Kerentanan ditutup, dan penulis, sebagai rasa terima kasih,
dibayar bonus besar dengan menghubungkan 4.000 megabita Internet selama 3 bulan.
Belakangan, pengguna yang dapat menggunakan rewiaca dalam posnya β
Mengapa tidak ada peretas putih di Ukraina atau sejarah peretasan Kyivstar β menggambarkan situasi dengan imbalan yang begitu murah hati secara lebih emosional.
Dalam komentar, Vitaly Sultan,
Soultan , Chief Digital Officer Kyivstar tercatat saat itu,
berjanji untuk segera meluncurkan di Bug Bounty.
Dan sekarang, setelah hampir dua tahun, Kyivstar
mengumumkan peluncuran program Bug Bounty-nya sendiri. Salah satu ungkapan pertama dalam pengumuman itu adalah sebagai berikut:
Kyivstar mencatat bahwa mereka memutuskan untuk meluncurkan program setelah mereka menemukan kerentanan selama pengujian beta dari sistem My Kyivstar yang diperbarui.
Seperti yang Anda lihat, perusahaan ini tidak jujur, karena itu adalah pengguna Habrahabr.ru
dinikin yang menemukan kerentanan dalam sistem Kyivstar Saya.
Beberapa lirikBahkan sebelum peluncuran Bug Bounty, saya menemukan di situs web Kyivstar kesempatan untuk menerima informasi tentang solvabilitas pelanggan perusahaan berdasarkan nomor telepon, serta apakah nomor tertentu aktif.
Dan mengetahui berapa banyak pelanggan yang dihabiskan, orang yang tidak jujur ββdapat menggunakan nomor tersebut untuk menelepon, atau hanya mengumpulkan dan menjual database angka untuk distribusi.
Tetapi program penggantian kerentanan diluncurkan hanya 2 minggu, setelah itu saya beralih ke mode pribadi, dan saya tidak punya waktu untuk memberi tahu mereka tentang masalah tersebut (dan apa yang terjadi jika Anda mengirim sinyal melalui saluran komunikasi yang tidak dimaksudkan untuk mengajukan aplikasi seperti yang dijelaskan di bagian akhir)
posting yang sama tentang Kyivstar).
Berbicara dengan
w9w tentang masalah lain, ternyata ia memiliki kesempatan untuk mengirim laporan ke program pribadi Kyivstar. Diputuskan untuk mencoba menyampaikan masalahnya melalui seorang kolega. Tetapi ketika saya sedang menyusun deskripsi dan mengambil tangkapan layar, operator seluler kembali membuka akses ke
Bug Bounty kepada semua orang.
Karena itu, saya secara mandiri merancang kasus yang saya temukan. Setelah menerima jawaban bahwa ini adalah bagian dari logika kerja dan risikonya diambil pada tahap implementasi mereka, saya tidak membantah.
Di malam hari, saya menemukan di folder Spam saya surat dari domain Kyivstar dengan lampiran HTML.
Dan di sini kesenangan dimulai.Terlepas dari kenyataan bahwa nama pengirim bertepatan dengan nama karyawan yang menjawab permintaan saya sebelumnya di platform Bugcrowd, email itu tidak sampai ke kotak yang digunakan untuk pendaftaran.
Setelah memeriksa lampiran untuk virus, membukanya dengan notebook dan googling pengirim, saya masih tidak percaya kebetulan seperti itu: ini adalah bookmark dari browser komputer kerja karyawan Kyivstar.
Operator seluler terbesar di Ukraina beruntung bahwa sebuah surat dengan lampiran formulir "Bookmarks_July.2018.html" tidak mendapatkan apa-apa (maaf untuk tautologi), tetapi untuk seseorang yang memahami nilai data tersebut dan konsekuensi dari kerugiannya.
Ada total 113 penanda dalam file. Dan di antara berbagai tautan, baik untuk bekerja (yang tidak membuka dari jaringan eksternal), dan tidak begitu banyak, ada satu yang terbuka, yang membuka mata saya untuk lima sen.
Tautan tersebut mengarah ke file yang tidak terlindungi, yang antara lain berisi kolom berikut: "URL layanan", "Login" dan "Kata Sandi":
(untuk memperbesar gambar, buka di tab baru)Berpikir lagi, apakah itu palsu atau
honeypot , saya mencoba masuk ke beberapa layanan, mengharapkan hambatan dalam bentuk otentikasi dua faktor. Tapi dia sudah pergi, dan aku masuk. Masuk sebagai admin:
Memahami bahwa akses dengan hak administrator sangat penting, pada hari berikutnya saya dengan cepat membuat dan mengirim permintaan ke Kyivstar pada Bugcrowd yang sama. Kemudian saya menerima ucapan terima kasih, poin reputasi dan $ 50.
$ 50 untuk akses ke akun dengan total nilai resmi lebih dari $ 5.800.
Saya menulis bahwa akses ke layanan dari daftar dengan hak administrator:
Layanan web Amazon
Pengembang Apple
Tindakan seluler
App annie
Disqus
Pengembang Google
Pusat Pengembangan Windows
KBRemote
Jira
Smartsheet
Pushwoosh
TicketForEvent
Pengembang Samsung
CMS untuk bigdata.kyivstar.ua dan hub.kyivstar.ua
Gmail
Zeplin
Prezi
Bitbucket
ini adalah masalah kritis, ini adalah akses ke hampir seluruh struktur perusahaan dan layanan yang digunakannya.
Mengandalkan potensi kerusakan pada bisnis, reputasi dan pelanggan, dan hanya melihat tabel hadiah Kyivstar, di mana sinyal saya diberi prioritas P1 (Pemaparan Data Sensitif: Data Sensitif Kritis - Pengungkapan Kata Sandi), saya berharap lebih banyak:
Kehilangan akses ke layanan semacam itu dari perusahaan digital mana pun merupakan pukulan signifikan bagi bisnis dan reputasi. Ini jauh lebih buruk daripada hanya semacam kerentanan, ini adalah akses penuh. Ini adalah informasi berguna Klondike untuk penjahat mana pun.
Menggunakan hanya satu akun, misalnya, di Pengembang Apple, penyerang dapat mengubah nama pengguna dan kata sandi dan mengunggah bangunan aplikasi atau hanya menambahkan dirinya sendiri ke administrator, meninggalkan pintu belakang.
Namun, Kyivstar bersikeras: "Terima kasih, ini $ 50 untuk Anda, temuan ini berada di luar cakupan program."
Sangat disayangkan karena keputusan perusahaan seperti itu, orang yang jujur ββakan berpikir tentang di mana melaporkan hal-hal seperti itu: melalui saluran resmi seperti saya, atau lebih baik untuk menemukan seseorang yang menawarkan lebih banyak untuk informasi ini. Perusahaan sendiri mendorong orang ke pikiran dan perbuatan buruk.
Dan intinya bukan pada uang, tetapi dalam rasa tidak hormat perusahaan kepada saya. Sementara di salah satu bank saya menemukan peluang untuk menerima tanda terima dari pelanggan lain dan saya dibayar sedikit lebih dari $ 300 untuk setiap peluang yang saya temukan, ada juga layanan pembayaran yang membayar kurang dari $ 20 untuk kerentanan yang sama - dan tidak ada, saya tidak marah pada yang kedua, 500 UAH uang juga. Tapi disini ...
Mungkin saya salah mengharapkan imbalan yang lebih besar. Silakan pilih dalam opsi survei di bawah remunerasi yang benar menurut pendapat Anda dalam situasi ini. Anda dapat menyuarakan pendapat Anda di sini di komentar.
PS: setiap aturan memiliki pengecualian.
UPD dari 01/09/2019: jawaban yang dipublikasikan untuk pertanyaan yang timbul dari membaca posting ini + masalah Kyivstar baru - https://habr.com/post/435074/