patyboy

Текст опубликовал пользователь facebook: https://www.facebook.com/zverenkov

Пытаюсь разобраться в ситуации, как Киевстар купил у исследователя свой административный доступ к пачке используемых сервисов (в числе которых Jira, AWS, Google developers, Apple Developer, Gmail, внутренней CMS с big data, Bitbucket и пачке других) за ... 50 долларов. Копая глубже этот инцидент, я понимаю, что произошедшее не могу характеризовать иначе, как лютый зашквар и эталон жлобства. Объясняю, что случилось. Нерадивый сотрудник Kyivstar в ходе переписки случайно отправил человеку, который занимается исследованиями в компьютерной безопасности, вложение вида Bookmarks_July.2018.html, а по сути - свои рабочие закладки. В которых, среди прочего, присутствовала ссылка на хранящийся онлайн, в открытом доступе, файл с логинами и паролями администраторских учеток компании Киевстар к используемым ими сервисам, платформам и прочим веб-аппликухам, задействованым в различных бизнес-процессах компании. Критичность информации, полученной исследователем, сложно переоценить: у меня потеют ладони и разыгрывается воображение от различных сценариев, в ходе которых можно было погрузить компанию Киевстар куда-то очень глубоко в нечистоты, из которых она выбиралась бы довольно продолжительное время. Но наш герой, будучи человеком честным, "спросил у жизни строгой, какой идти дорогой..." и пошел дорогою добра. Обратился официально, через открытую Киевстаром bug bounty программу на известной платформе. Программа эта подразумевает выплату исследователям вознаграждений за найденные у компании проблемы и прочие признаки кибер-триппера, по сетке критичности - до 3 000 долларов включительно. Товарищ сформировал официальный отчет, так мол и так - глядите люди добрые, вы просрали все полимеры подрастеряли своё добро, причем не кисло так: тут вам и разработка ваша, и коммуникации внутренние, и хрен его знает сколько всего. Ой, ой, тут антракт и отвлечемся на "краткое содержание предыдущих серий": не далее чем пару лет назад тот же Киевстар, от щедрот, одарил другого исследователя, который обнаружил broken access control уязвимость (дававшую доступ к личным кабинетам абонентов компании, чужим счетам, деньгам, истории звонков и т.д.) аж тремя месяцами бесплатного интернета! Это учитывая, что он мог пополнять себе и другим счет, условно говоря на миллионы, опустошая чужие аккаунты. Не говоря уже о персональной информации абонентов - можно было продавать логи чужих звонков. Ладно, подумали все, фиг с ним, первый блин комом - у компании не было понимания bug bounty и что делать с такими кейсами. Этот случай стал просто смешным мемом в сообществе, всё простили. Киевстар успешно запустил bug bounty программу, понеслись нормальные выплаты за найденные уязвимости, казалось бы - дожили до белых пирогов. Светлое будущее наступило, вот оно. Но дно со свистом вырвало и оно покатилось куда-то буквально на днях. Антракт закончился, продолжаем. Зарепортил, значит, исследователь о проблеме. И получил за это spasibo и 50 долларов. Американских. Это примерно 1350 гривен, что в целом эквивалентно бутылке недорогого пойла. Награду исследователь забирать не стал, так много, говорит, столько не унесу, отдайте кому-то на благотворительность. Что я могу сказать по этому поводу: Kyivstar не доплатил человеку, по осторожным оценкам, 2950 долларов. Возможно и больше, но меньше просто никак, потому что фу. В обсуждении ситуации на Хабре мнения разделились, читая их я симпатизировал то одной, то другой стороне, доводы убедительно звучали и там и там, пока не дошел до ответа "директора направления Digital в Киевстар", который написал, что дескать "описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании", поэтому исследователю бросили костомаху 50 долларов. Аут оф скоуп, типа, сорян бро, вот тебе на кофе. Отлично, ребята, а вы хоть понимаете что те же доступы можно было предложить и не вам, официально, а другим интересующимся? Вы понимаете что этим недалеким жлобством вы скомпрометировали всю свою bug bounty программу, на которую вы угрохали нормально денег, в том числе активно рекламируя ее в Facebook? Она же теперь говна не стоит, да любому понятно, куда нести найденные у вас плюхи? Как можно было, держа в памяти свой зашквар с трехмесячным бесплатным интернетом за доступ к кабинетам абонентов, вот тут так налажать? Я очень хорошо отзывался о программе вознаграждений за уязвимости, когда вы ее запустили. Но сейчас мое мнение сильно изменилось.Такими поступками вы не экономите, вы очень много потеряете в перспективе. Лояльности не ждите.

Оригинальная статья: https://habr.com/post/418591/

И Великий холивар в коментах