Целых 50$ за за найденную дыру в IT-системе Киевстар

По мнению хакера, такая работа стоит на порядок больше
Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает Ain.ua.

Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.

Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.

Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.

Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.



Список сервисов


По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.

Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.


Его лицо

 

эталонный сферический хохлостан дэтэктэд по всем признакам

 

Это и так много

"Добросовестный" Divan.tv даже не захотел говорить со мной по поводу уязвимости найденной в системе платных подписок.

Можно было оформить любую подписку при нулевом балансе на неограниченный срок.
После звонка и разговора с техподдержкой просто сказали спасибо и отключили мой аккаунт.
так что...

но есть и плюсы оператор tenet (Одесса) подогнал приставку MAG 322 ну и еще кое что (просили не разглашать)

 

Небось бабу сиськатую?

 

Давно уже пора понять, что хохлы не платят за уязвимости, поэтому пентестите сервера мордора, если повезет - посадят на бутылку.
И главное помни, тебя дома ждет семья.