Текст опубликовал пользователь facebook: https://www.facebook.com/zverenkov

Пытаюсь разобраться в ситуации, как Киевстар купил у исследователя свой административный доступ к пачке используемых сервисов (в числе которых Jira, AWS, Google developers, Apple Developer, Gmail, внутренней CMS с big data, Bitbucket и пачке других) за ... 50 долларов. Копая глубже этот инцидент, я понимаю, что произошедшее не могу характеризовать иначе, как лютый зашквар и эталон жлобства. Объясняю, что случилось. Нерадивый сотрудник Kyivstar в ходе переписки случайно отправил человеку, который занимается исследованиями в компьютерной безопасности, вложение вида Bookmarks_July.2018.html, а по сути - свои рабочие закладки. В которых, среди прочего, присутствовала ссылка на хранящийся онлайн, в открытом доступе, файл с логинами и паролями администраторских учеток компании Киевстар к используемым ими сервисам, платформам и прочим веб-аппликухам, задействованым в различных бизнес-процессах компании. Критичность информации, полученной исследователем, сложно переоценить: у меня потеют ладони и разыгрывается воображение от различных сценариев, в ходе которых можно было погрузить компанию Киевстар куда-то очень глубоко в нечистоты, из которых она выбиралась бы довольно продолжительное время. Но наш герой, будучи человеком честным, "спросил у жизни строгой, какой идти дорогой..." и пошел дорогою добра. Обратился официально, через открытую Киевстаром bug bounty программу на известной платформе. Программа эта подразумевает выплату исследователям вознаграждений за найденные у компании проблемы и прочие признаки кибер-триппера, по сетке критичности - до 3 000 долларов включительно. Товарищ сформировал официальный отчет, так мол и так - глядите люди добрые, вы просрали все полимеры подрастеряли своё добро, причем не кисло так: тут вам и разработка ваша, и коммуникации внутренние, и хрен его знает сколько всего. Ой, ой, тут антракт и отвлечемся на "краткое содержание предыдущих серий": не далее чем пару лет назад тот же Киевстар, от щедрот, одарил другого исследователя, который обнаружил broken access control уязвимость (дававшую доступ к личным кабинетам абонентов компании, чужим счетам, деньгам, истории звонков и т.д.) аж тремя месяцами бесплатного интернета! Это учитывая, что он мог пополнять себе и другим счет, условно говоря на миллионы, опустошая чужие аккаунты. Не говоря уже о персональной информации абонентов - можно было продавать логи чужих звонков. Ладно, подумали все, фиг с ним, первый блин комом - у компании не было понимания bug bounty и что делать с такими кейсами. Этот случай стал просто смешным мемом в сообществе, всё простили. Киевстар успешно запустил bug bounty программу, понеслись нормальные выплаты за найденные уязвимости, казалось бы - дожили до белых пирогов. Светлое будущее наступило, вот оно. Но дно со свистом вырвало и оно покатилось куда-то буквально на днях. Антракт закончился, продолжаем. Зарепортил, значит, исследователь о проблеме. И получил за это spasibo и 50 долларов. Американских. Это примерно 1350 гривен, что в целом эквивалентно бутылке недорогого пойла. Награду исследователь забирать не стал, так много, говорит, столько не унесу, отдайте кому-то на благотворительность. Что я могу сказать по этому поводу: Kyivstar не доплатил человеку, по осторожным оценкам, 2950 долларов. Возможно и больше, но меньше просто никак, потому что фу. В обсуждении ситуации на Хабре мнения разделились, читая их я симпатизировал то одной, то другой стороне, доводы убедительно звучали и там и там, пока не дошел до ответа "директора направления Digital в Киевстар", который написал, что дескать "описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании", поэтому исследователю бросили костомаху 50 долларов. Аут оф скоуп, типа, сорян бро, вот тебе на кофе. Отлично, ребята, а вы хоть понимаете что те же доступы можно было предложить и не вам, официально, а другим интересующимся? Вы понимаете что этим недалеким жлобством вы скомпрометировали всю свою bug bounty программу, на которую вы угрохали нормально денег, в том числе активно рекламируя ее в Facebook? Она же теперь говна не стоит, да любому понятно, куда нести найденные у вас плюхи? Как можно было, держа в памяти свой зашквар с трехмесячным бесплатным интернетом за доступ к кабинетам абонентов, вот тут так налажать? Я очень хорошо отзывался о программе вознаграждений за уязвимости, когда вы ее запустили. Но сейчас мое мнение сильно изменилось.Такими поступками вы не экономите, вы очень много потеряете в перспективе. Лояльности не ждите.

Оригинальная статья: https://habr.com/post/418591/

И Великий холивар в коментах

Решыл значиться я попользоваться 4g. Оказалось, киевстаровская симка, которая у меня с 2009 года не поддержывает сию технологию. В приложеньке предлагают бесплатно (то есть даром(то есть наебалово)) поменять симку на 4г. В 5 минут поменяли, только сказали что все контакты сотруться, и вроде как всё работает, начал юзать, ютуб посмотрел чуть-чуть. Пришев домой, приспичило мне зайти посмотреть баланс. И я ахуел. Снялось 20 гривен. Посмотрел расходы, а там интернет - 370 мб - 18 грн. Причем у меня еще было тарифных 1500мб. Полазив в настройках сим увидел что интернет береться из xl.kyivstar.net. Погуглив, оказалось что ето услуга стоит 7 грн/день за пользование + 0.03 грн за 1 мб. В итоге +/- грн. Бесплатный сыр онли в мышеловке. Не попадайтесь на крюк халяв, удачи всем!

Киевстар решил, что я грущу в одиночестве в полночь. Ржут даже соседи)))) (сарказм, ессчё)

А вообще, какого хрена? я не заказывала анекдоты.. Со счёта сняло несчастные 1.28 грн ( да хоть миллион.. за такое-то веселье- сарказм х2). По команде подписка отменилась:)

P.S. Обещала себе не постить х***ю, но женщина делает 90% из того, что обещала не делать!!
Пойду выпью чай из кактуса, ибо текила йок(
P.S.S. так и не поняла: это я сэло и не поняла анекдот, или это 2 разных оных..?

Здравствуйте.

Скоро предстоит переезд на несколько месяцев в деревню и там проблема с плохим покрытием опсосами.

Есть два варианта:

1) Усиление мобильного 3G от Lifecell/Kyivstar;

2) Усиление CDMA REV.A/REV.B от Intertelecom'a.

Тарифы примерно равноценные у них, цена абонентки роли не сыграет.

У меня уже стоит модем  с антеной на 17 децибел на высоте трех метров на уровне земли - сигнал 75% качества, 4 деления в модеме Huawei EC319.

Интернет 2-3 мегабита вход-выход, пинг 50-70.

Лайф/Киевстар пробовал только на дереве )))) и тоже ловит 3G, но скорость не тестил. По ощущениям - как в городе, Пикабу грузится довольно быстро, даже анимашки.

Есть ли способ не особо дорого сделать рукодельное или приобрести какой либо комплект усиления сигнала в дом? Сильно далеко не надо - примерно пару метров в доме, где будет стоять компьютер.

По сети гулял, но гугль вибивает "настойчиво" купить комплекты за овердофига денег на ОЛХ (авито-клон) или на пром.уа (другая площадка от владельцев ОЛХ)..

Из оборудования - паяльная станция с феном; мультиметр; различные доноры-платы, трупы мобилок, материнок и прочего.

Смартфон - Xiaomi Redmi Note 4X, еще на гарантии, поэтому вскрывать корпус не охота.

Уровень знаний - паяю кондеры, звоню диодной прозвонкой транзюки.

Благодарю за информацию.

В моем небольшом посте речь пойдёт о "голубом" украинском операторе мобильной связи, известном под бредом Киевстар.
Небольшая предыстория: недавно я пользовался простым кнопочным мобильным телефоном, и чтоб не было скучно изо дня в день, решил попробовать услугу оператора Анекдоты и Погода. Которыми, кстати, ни разу в жизни не пользовался, ибо смысл.
Спустя некоторое время приобрёл новенький Xiaomi, а про подключённый операторский спам забыл. До тех пор, пока он про себя сам не напомнил после пополнения счета.

Ну, думаю, сейчас быстро позвоню оператору, отключу. Но не тут то было...
Прослушав 20+ минут по номеру 466 монолог автоответчика, и ничего не добившись, положил трубку. Попробовал набрать 477, и снова ничего не добившись бросил трубку.
Настоятельно рекомендуемое IVR приложение Мой Киевстар обещало управление любыми услугами, огромные возможности в самообслуживании своего номера. Установил... Но кто бы мог подумать, что желанных Анекдотов и Погоды в списке услуг не обнаружилось, и вообще набор услуг в приложении скудный. Связь с оператором хотя бы в режиме чата также отсутствовала.
Окей, не сдаюсь. Иду на сайт Киевстара с надеждой на то, что там есть вездесущие онлайн консультанты. Но нет! Только отсылка на унылого чатбота Зоряна в телеграме.
И тут чатбот посоветовал мне обратиться на линию 0800, или отправить СМС с тремя единичками на короткий номер.
Хорошо, звоню в 0800. С оператором соединили быстро, но как только я ей озвучил свою проблему, она спешно отправила меня на злополучный номер 466. Выругавшись, положил трубку.
Пробую отправить СМС, но в ответ приходит сообщение о том, что по этому номеру я не подписан ни на какие услуги.
Черт! Да они там совсем все с ума посходили???

Хорошо, финальная стадия. Иду на дилерский центр обслуживания.
Отстояв в очереди с желанием убивать перед одним из двух консультантов, изложил свою проблему. Но оператор с грустным лицом сообщает мне о том, что мне надо подойти с понедельника по пятницу к их другому оператору, или поехать на кудыкинугору в другой центр обслуживания (обращался я в субботу). Ладно, в понедельник пойду ругаться к этому "другому" оператору.

Одно для меня осталось непонятным: зачем создавать такой геморрой обычным абонентам? Напрашивается мысль, для того, чтобы человек забил на безуспешные попытки, и продолжал "пользоваться" ненужными ему платными услугами и подписками, или оператор просто мазохист. Больше добавить нечего..