Работники «Киевстар» по ошибке отправили «белому» хакеру файл с корпоративными данными компании. В нем оказались пароли доступа к аккаунтам на Amazon Web Services, Google Developers, Apple Developer и другие сервисы. Как это случилось подробно рассказал пользователь IT-ресурса Habr под ником Gorodnya.

В 2017 году мобильный оператор «Киевстар» начал работать с программой Bug Bounty, где тестировщики за деньги искали баги в программах оператора. Хакер, зарегистрировался на платформе для тестировщиков BugCrowd, чтобы передать сведения о проблеме, которую он обнаружил ранее. На сайте оператора мобильной связи можно было получать информацию о финансовой истории клиентов по номерам телефонов.

Мобильные операторы запускают в эксплуатацию настоящий 4G

Спустя время, компания направила тестировщику письмо, в котором был вложен HTML-файл со 113 из браузера. И в одной из них хакер нашел незащищенный файл с паролями и логинами к корпоративным сервисам оператора.

У тестировщика получилось войти в сервис на правах администратора и получить доступ к управлению следующими аккаунтами: Amazon Web, Services, Apple Developer, Mobile Action, App Annie, Disqus, Google Developers, Windows Dev Center. Так, с помощью только одной учетной записи (например, в Apple Developer), злоумышленник может изменить логин и пароль, загрузить свои программы или просто контролировать устройство клиента.

Хакер опять обратился в компанию, на этот раз чтобы сообщить об утечке конфиденциальной информации. Благородство тестировщика в "Киевстар" оценили высоко. И, если вначале он рассчитывал привычные для своей работы $1000-3000 тыс, то оператор оценил его труд на $50.

По оценкам автора, данные, которые у него оказались, стоили около $6 тыс. Пользователь уверен, что скромное вознаграждение стимулирует нечистых на руку людей перепродавать информацию в третьи руки за большие деньги.

Напомним, что украинцы возмутились, когда "Киевстар" решил принудительно перевесьт их на более дорогие безлимитные тарифные планы. Формально компания предлагает людям альтернативу. И только если те не предпринимают никаких действий, автоматически подключают их к новым условиям автоматически. На деле же у абонентов практически нет равных по условиям перехода возможностей. А Киевстар делает все, чтобы собрать с каждого побольше денег.

Хотите первыми получать важную и полезную информацию о ДЕНЬГАХ и БИЗНЕСЕ? Подписывайтесь на наши аккаунты в мессенджерах и соцсетях: Telegram, Twitter, YouTube, Facebook, Instagram.

Теги: киевстар оператор хакер пароли доступ google apple windows финансовая награда гонорар тестирование
Просмотров: 1051