!!

Внимание!!!

Спасибо, что читаете наш форум. После регистрации делать это будет удобнее(в том числе без рекламы)
- Регистрация
- Залогиниться с помощью аккаунта соцсети

Если с регистрацией возникают проблемы, то обращайтесь через меню Контакты

Автор Тема: Киевстар опять попал в Хабр и опять не хорошо  (Прочитано 2487 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Киевстар опять попал в Хабр и опять не хорошо
« : 31, Июль 2018, Вторник, 22:25:54 pm »
Подробности [Войдите или зарегистрируйтесь]



Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #1 : 31, Июль 2018, Вторник, 22:30:47 pm »
Жаль, что это письмо пришло не ко мне. Я бы нашёл ему более толковое применение.  ;)


Оффлайн Bricks

  • Moderator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 7191
  • Лайков: 1697
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #2 : 31, Июль 2018, Вторник, 23:07:19 pm »
Ну то что в КСе жидята, это 100500.
Но что вот это???

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #3 : 01, Август 2018, Среда, 08:13:28 am »
Но что вот это???
Два жопоруких приложения, которые пилят не первый год. Вопрос то в чём?

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #4 : 01, Август 2018, Среда, 08:17:09 am »
Фишка же в другом. До днища остался один шаг - нужно было файл с паролями выложит в гугло-докс. Это сейчас в тренде.  :D

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #5 : 01, Август 2018, Среда, 08:33:54 am »
И эти люди отвечали за информационную безопасность в регионе Евразия. Может правильно, что начали убирать шлак?

Оффлайн Bricks

  • Moderator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 7191
  • Лайков: 1697
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #6 : 01, Август 2018, Среда, 12:53:50 pm »
Вопрос то в чём?
Я не знаю у КСа , такую фишку "Сетевой эксперт"

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #7 : 01, Август 2018, Среда, 12:55:43 pm »
Вопрос то в чём?
Я не знаю у КСа , такую фишку "Сетевой эксперт"
Это не фишка, а разрабатываемое мобильное приложение

Оффлайн Bricks

  • Moderator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 7191
  • Лайков: 1697
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #8 : 01, Август 2018, Среда, 13:04:08 pm »
разрабатываемое

Собираемые данные включают:
o Местоположение SIM-карты, используемой в Вашем устройстве, чтобы Мы могли видеть,
где возникла проблема;
o Уровень сигнала мобильной связи;
o Технологию Вашего подключения Вашего устройства;
o Модель и операционную систему Вашего устройства;
o IMEI Вашего телефона;
o Серийный номер Ваших SIM-карт;
o Результаты технических измерений параметров сети при проведении удаленного
тестирования;
o Состояние батареи Вашего устройства и уровень заряда.

Оффлайн Cellular

  • Обычный человек, ветеран движения
  • ***
  • Сообщений: 1517
  • Лайков: 466
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #9 : 01, Август 2018, Среда, 13:14:58 pm »
Ахуительная аппликация.
За её установку нужно доплачивать абоненту)

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #10 : 01, Август 2018, Среда, 13:18:15 pm »
Пообещайте абоненту нахаляву гиг трафика и он ваш.
Ахуительная аппликация.
За её установку нужно доплачивать абоненту)


Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #11 : 01, Август 2018, Среда, 15:34:36 pm »
Ответ Султана на Хабре:

Добрый день. Работаю директором направления Digital в Киевстар и попробую описать свою точку зрения на сложившуюся ситуацию.

Когда два года назад возник прецедент с бета версией Мой Киевстар я дал свое слово сообществу Habr что Киевстар запустит BugBounty программу, чтобы серчеры пытались найти уязвимости в системах компании и получали вознаграждение за свои таланты. Для реализации программы мы выбрали платформу Bugcrowd и в прошлом году запустили BugBounty в закрытом режиме — искать уязвимости приглашались только серчеры рекомендованные Bug Crowd.

В рамках программы компания предлагает найти уязвимости в системе самообслуживания Мой Киевстар, на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию. Суть Bug Bounty программы заключается в поиске ошибок (багов), особенно тех, которые касаются эксплойтов и уязвимостей. Независимый исследователь уязвимостей (= White Hat Hacker), найдя и подтвердив ошибку, получает вознаграждение.

Процесс поиска уязвимостей, обсуждения, устранения проблемы и выплаты вознаграждения регламентирован основными принципами проведения BugBounty, а также брифом компании, которая запускает программу. Регистрируясь в программе, исследователи автоматически принимают условия участия в ней, а также несут ответственность за соблюдения правил платформы BugCrowd. В рамках проведения программы Киевстар получает много сообщений, но только некоторые из них остаются в работе и могут быть вознаграждены согласно условиям брифа.

Весной этого года мы перевели программу в public чтобы больше серчеров могли попробовать свои силы в поиске уязвимостей. За указанный период исследователям было выплачено $27 155. Наивысшие разовые вознаграждения доходили до $1500.

Теперь ближе к конкретному инциденту.

Несколько недель назад мы получили от серчера сообщение об утечке административной информации. Исследователь получил доступ к файлу с перечнем некоторых онлайн сервисов, которые используются в Digital процессах компании.

В диалоге серчер сообщил что перечень получил по электронной почте непосредственно от сотрудника компании. Служебное расследование выявило что сотрудник который занимался ведением программы в результате ошибки автозаполнения в почтовом клиенте отправил письмо с сенсетив информацией на имейл одного из исследователей. Понятно что сам факт хранения паролей в таком виде недопустим и предмет отдельного разбирательства. Сотрудник был отстранен от дел.

Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения за сенсетив информацию, но описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании. Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар.

Единственная статья с широкой трактовкой в регламенте программы, к которой можно отнести данный прецедент подразумевает поощерительное вознаграждение в размере $50, что и было предложено серчеру в дополнение к искренней благодарности.

В коментариях было мнение что мол «могли договориться по человечески». Киевстар компания с крайне строгим отношением к Compliance — мы действительно ведем бизнес честно и не отступаем от принципов под давлением. Поскольку не смотря на исчерпывающие комментарии с нашей стороны, исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com компанией данное поведение может расцениваться как вымогательство.

Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен:
“…Before engaging in any testing or submitting findings the Researcher agrees that he/she will (i) hold in confidence and not disclose to any third party any Confidential Information (CI) of Disclosing Party, except as approved in writing by Disclosing Party;..”

Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.

Расстроен тем что благое намерение запуска честной и прозрачной программы Bug Bounty Киевстар с уважаемым арбитром Bug Crowd, сейчас оборачивается подобными публикациями. С другой стороны это важная обратная связь для улучшения самой программы и внутренних процессов компании.

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #12 : 01, Август 2018, Среда, 15:36:26 pm »
И чуть позже:

По условиям Bug Crowd не имеем права выкладывать скрины переписки с исследователем — запросили у них разрешение.

Реплика приведенная выше и развитие диалога четко дает понять нам про намерение исследователя выложить информацию об инциденте в публичный доступ если не будет выплачено вознаграждение превышающее предложенные $50. Судя по тому что мы отказались выплачивать большую сумму и пост опубликован наша трактовка верна.

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #13 : 01, Август 2018, Среда, 15:40:58 pm »
Вывод: вымогатель лох, нужно было искать другой путь общения  ;)

Оффлайн Сергей Горбачевский

  • Administrator
  • Обычный человек, ветеран движения
  • *****
  • Сообщений: 63576
  • Лайков: 5242
  • Пол: Мужской
  • 18 июля день освобождения Киевстар!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #14 : 01, Август 2018, Среда, 15:47:21 pm »
А вот хабрачитатели не любят Султана и какают ему в карму.