一个巧遇,运气和回报的故事。
两年前,
dinikin发表了一篇关于他如何在乌克兰最大的移动运营商Kyivstar的
仪表板中发现漏洞的
帖子 。 漏洞允许将任何Kyivstar电话号码添加到其帐户中,而无需验证并完全管理它:
- 查看余额和通话详细信息;
- 查看PUK码和SIM卡的序列号,以便您自己更换SIM卡;
- 添加新服务并更改资费计划;
- 最重要的是,要在手机之间转移资金。
该漏洞已关闭,感激作者,
通过连接4,000兆字节的Internet 3个月,他们
获得了巨额奖金 。
后来,这位可怜的人在他的帖子“
为什么乌克兰没有白人黑客或入侵Kyivstar的历史 ”一文中以如此慷慨的奖赏感性地描述了这种情况。
在评论中,Vitaly Sultan,
Soultan ,首席数字官Kyivstar被注意到,并
承诺不久将在Bug Bounty发布。
而现在,将近两年后,Kyivstar
宣布启动了自己的Bug赏金计划。 该公告中的第一句话如下:
Kyivstar指出,他们在更新的My Kyivstar系统的Beta测试期间发现漏洞后,决定启动该程序。
如您所见,该公司是不光彩的,因为是用户Habrahabr.ru
dinikin在My Kyivstar系统中发现了该漏洞。
一些歌词甚至在Bug Bug悬赏发布之前,我就在Kyivstar网站上找到了通过电话号码接收有关公司客户偿付能力以及特定号码是否有效的信息的机会。
知道订户花了多少钱,不诚实的人可以使用这样的号码拨打电话,或者简单地收集和出售号码数据库进行分发。
但是漏洞补偿程序仅启动了两周,之后我切换到私有模式,并且我没有时间将问题告知他们(最后描述了如果您通过不打算提交此类应用程序的通信渠道发送信号会发生什么情况?关于Kyivstar的同一
帖子 )。
与
w9w讨论其他问题时,事实证明他有机会向Kyivstar的私人程序发送报告。 已决定尝试通过同事传达问题。 但是,当我编写说明并获取屏幕截图时,移动运营商再次
向所有人开放了对
Bug Bounty的访问权限。
因此,我独立设计了发现的案例。 收到的答复是这是工作逻辑的一部分,而风险是在实施过程中承担的,我没有提出异议。
晚上,我在“垃圾邮件”文件夹中找到了一封来自Kyivstar域的信件,其中带有HTML附件。
从这里开始乐趣。尽管发件人的姓名与在Bugcrowd平台上回答了我之前的请求的员工的姓名一致,但该电子邮件并未出现在用于注册的框中。
在检查了附件中的病毒之后,用笔记本打开它并仔细检查了发件人,我仍然不敢相信这样的巧合:这些是来自Kyivstar员工工作计算机浏览器的书签。
乌克兰最大的移动运营商很幸运,一封带有“ Bookmarks_July.2018.html”格式的附件的信件没有到达任何地方(对重言式来说很抱歉),但对那些了解此类数据的价值及其丢失后果的人来说,却是无济于事。
文件中共有113个书签。 在各种链接中,无论是用于工作(未从外部网络打开),还是没有那么多连接,其中有一个打开了,使我睁开了五角钱。
该链接指向一个不受保护的文件,其中除其他外,其中包含以下几列:“服务的URL”,“登录”和“密码”:
(要放大图像,请在新标签页中将其打开)再想一想,无论是假货还是
蜜罐 ,我试图登录其中的几项服务,并期望以两因素身份验证的形式遇到障碍。 但是她走了,我进入了。 以管理员身份登录:
理解具有管理员权限的访问权限至关重要,因此第二天,我迅速创建了同一Bugcrowd并向Kyivstar发送了请求。 后来我收到了谢谢,声望点和50美元。
50美元用于访问官方总价值超过5,800美元的帐户。
我用管理员权限从列表中访问了服务:
亚马逊网络服务
苹果开发商
行动动作
应用程式安妮
领英
Google开发人员
Windows开发中心
KBRemote
吉拉
智能表
Pushwoosh
TicketForEvent
三星开发人员
CMS适用于bigdata.kyivstar.ua和hub.kyivstar.ua
邮箱
策普林
普雷齐
比特桶
这是一个关键问题,几乎可以访问公司的整个结构及其使用的服务。
依靠对业务,声誉和客户的潜在损害,仅查看Kyivstar奖励表,在该表中,我的信号被赋予优先级P1(敏感数据暴露:关键敏感数据-密码泄露),我期望更多:
失去任何数字公司的此类服务的使用,对业务和声誉都是沉重的打击。 这比仅是某种漏洞(完全访问权限)要糟糕得多。 对于任何犯罪分子来说,这都是克朗代克有用的信息。
例如,在Apple Developer中,仅使用一个帐户,攻击者就可以更改用户名和密码并上载其应用程序版本,或者干脆将自己添加到管理员中,从而留下后门。
但是,Kyivstar坚持认为:“谢谢您,给您50美元,这项发现超出了计划的范围。”
遗憾的是,由于公司的此类决定,诚实的人们会考虑在何处举报此类事情:通过像我这样的官方渠道,或者更好地找到提供更多此类信息的人。 公司本身将人们推向不良的思想和行为。
关键不是钱,而是公司对我的不敬。 在其中一家银行中,我发现有机会从其他客户那里收到收据,每发现一次机会,我就获得多于300美元的报酬,但对于相同的漏洞,也有支付服务的价格低于20美元-没什么,我对第二个漏洞并不生气, 500 UAH 钱也一样。 但是这里...
也许我误以为会得到更大的回报。 在这种情况下,请在调查选项下选择您认为正确的薪酬。 您可以在此处的评论中表达您的意见。
PS:每条规则都有例外。
UPD从01/09/2019起:已发布对阅读此帖子+新的Kyivstar问题引起的问题的答案-https://habr.com/post/435074/