- PVSM.RU - https://www.pvsm.ru -
Вот как после недавнего поступка Киевстара можно говорить об этом славном операторе связи и провайдере интернета, что он ценит и уважает труд специалистов?
Один [1] хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.
Технические подробности :
Один из шагов в процедуре привязки телефона в личный кабинет не корректно передавал параметры успешного прохождения этапа, в следствии чего шаг с смс-подверждением можно было пропустить
Как вы думаете, какая сумма на балансе у среднего абонента Киевстар? 5-10 грн? А у тысячи абонентов это уже до 10 000 грн. Не говоря уже об элементарной тайне переписки и СМС с кодами входа интернет-банкинга
Это критическая уязвимость, воспользовавшись которой, хакер-злоумышленник мог бы заполучить не малые деньги, а компания Киевстар потерять и деньги и репутацию
Но к счастью, информация не попала в плохие руки, хакер оказался предельно этичным и повёл себя как исследователь, немедленно сообщив организации об уязвимости, хоть ему и было тяжело доверить столь деликатную информацию даже оператору, работающего в самой компании.
И знаете, Киевстар, быстро залатав дыру в своей безопасности, оценил данную уязвимость в 3 бесплатных месяца пользования интернетом, присудив именно такую награду исследователю
Я понимаю, что с ничего платить деньги никто не рассчитывал и в бюджет это не закладывалось, но это может сыграть злую шутку с компанией в будущем, ведь некоторые IT-специалисты уже выразили своё сомнение по поводу справедливости вознаграждения.
И в правду, другой исследователь трижды подумает, а не выгодней ли будет, даже не пользоваться уязвимостью — это бы было незаконно, а продать эту информацию другим компаниям за приличные деньги, те кто разбирается в этом и понимают цену.
А данный случай лишь иной раз объясняет наличие большого колличества хакеров-злоумышленников, чем славится Украина, где не создаются условия, когда хакеру выгодно переходить на белую сторону, становясь исследователем, а компании все так же борятся и страдают, а не уважают и поощряют.
Автор в G+ [2]
Автор: rewiaca
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/uyazvimost/160162
Ссылки в тексте:
[1] Один: https://habrahabr.ru/post/305706/
[2] G+: https://plus.google.com/+rewiaca/about
[3] Источник: https://geektimes.ru/post/278744/
Нажмите здесь для печати.