Автор Тема: Киевстар опять попал в Хабр и опять не хорошо  (Прочитано 3945 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Киевстар опять попал в Хабр и опять не хорошо
« : 31, Июль 2018, Вторник, 22:25:54 pm »
Подробности здесь.

Я в Твиттере https://twitter.com/gorbachevsky


Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #1 : 31, Июль 2018, Вторник, 22:30:47 pm »
Жаль, что это письмо пришло не ко мне. Я бы нашёл ему более толковое применение.  ;)
Я в Твиттере https://twitter.com/gorbachevsky


Оффлайн Bricks

  • Moderator
  • Знаменитый писатель
  • *****
  • Сообщений: 7383
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #2 : 31, Июль 2018, Вторник, 23:07:19 pm »
Ну то что в КСе жидята, это 100500.
Но что вот это???

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #3 : 01, Август 2018, Среда, 08:13:28 am »
Но что вот это???
Два жопоруких приложения, которые пилят не первый год. Вопрос то в чём?
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #4 : 01, Август 2018, Среда, 08:17:09 am »
Фишка же в другом. До днища остался один шаг - нужно было файл с паролями выложит в гугло-докс. Это сейчас в тренде.  :D
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #5 : 01, Август 2018, Среда, 08:33:54 am »
И эти люди отвечали за информационную безопасность в регионе Евразия. Может правильно, что начали убирать шлак?
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Bricks

  • Moderator
  • Знаменитый писатель
  • *****
  • Сообщений: 7383
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #6 : 01, Август 2018, Среда, 12:53:50 pm »
Вопрос то в чём?
Я не знаю у КСа , такую фишку "Сетевой эксперт"

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #7 : 01, Август 2018, Среда, 12:55:43 pm »
Вопрос то в чём?
Я не знаю у КСа , такую фишку "Сетевой эксперт"
Это не фишка, а разрабатываемое мобильное приложение
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Bricks

  • Moderator
  • Знаменитый писатель
  • *****
  • Сообщений: 7383
  • Пол: Мужской
  • Хвастливый адепт темной стороны КС (с)
  • награды 10 лет на форуме
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #8 : 01, Август 2018, Среда, 13:04:08 pm »
разрабатываемое

Собираемые данные включают:
o Местоположение SIM-карты, используемой в Вашем устройстве, чтобы Мы могли видеть,
где возникла проблема;
o Уровень сигнала мобильной связи;
o Технологию Вашего подключения Вашего устройства;
o Модель и операционную систему Вашего устройства;
o IMEI Вашего телефона;
o Серийный номер Ваших SIM-карт;
o Результаты технических измерений параметров сети при проведении удаленного
тестирования;
o Состояние батареи Вашего устройства и уровень заряда.

Оффлайн Cellular

  • Знаменитый писатель
  • ***
  • Сообщений: 1799
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #9 : 01, Август 2018, Среда, 13:14:58 pm »
Ахуительная аппликация.
За её установку нужно доплачивать абоненту)

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #10 : 01, Август 2018, Среда, 13:18:15 pm »
Пообещайте абоненту нахаляву гиг трафика и он ваш.
Ахуительная аппликация.
За её установку нужно доплачивать абоненту)

Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #11 : 01, Август 2018, Среда, 15:34:36 pm »
Ответ Султана на Хабре:

Добрый день. Работаю директором направления Digital в Киевстар и попробую описать свою точку зрения на сложившуюся ситуацию.

Когда два года назад возник прецедент с бета версией Мой Киевстар я дал свое слово сообществу Habr что Киевстар запустит BugBounty программу, чтобы серчеры пытались найти уязвимости в системах компании и получали вознаграждение за свои таланты. Для реализации программы мы выбрали платформу Bugcrowd и в прошлом году запустили BugBounty в закрытом режиме — искать уязвимости приглашались только серчеры рекомендованные Bug Crowd.

В рамках программы компания предлагает найти уязвимости в системе самообслуживания Мой Киевстар, на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию. Суть Bug Bounty программы заключается в поиске ошибок (багов), особенно тех, которые касаются эксплойтов и уязвимостей. Независимый исследователь уязвимостей (= White Hat Hacker), найдя и подтвердив ошибку, получает вознаграждение.

Процесс поиска уязвимостей, обсуждения, устранения проблемы и выплаты вознаграждения регламентирован основными принципами проведения BugBounty, а также брифом компании, которая запускает программу. Регистрируясь в программе, исследователи автоматически принимают условия участия в ней, а также несут ответственность за соблюдения правил платформы BugCrowd. В рамках проведения программы Киевстар получает много сообщений, но только некоторые из них остаются в работе и могут быть вознаграждены согласно условиям брифа.

Весной этого года мы перевели программу в public чтобы больше серчеров могли попробовать свои силы в поиске уязвимостей. За указанный период исследователям было выплачено $27 155. Наивысшие разовые вознаграждения доходили до $1500.

Теперь ближе к конкретному инциденту.

Несколько недель назад мы получили от серчера сообщение об утечке административной информации. Исследователь получил доступ к файлу с перечнем некоторых онлайн сервисов, которые используются в Digital процессах компании.

В диалоге серчер сообщил что перечень получил по электронной почте непосредственно от сотрудника компании. Служебное расследование выявило что сотрудник который занимался ведением программы в результате ошибки автозаполнения в почтовом клиенте отправил письмо с сенсетив информацией на имейл одного из исследователей. Понятно что сам факт хранения паролей в таком виде недопустим и предмет отдельного разбирательства. Сотрудник был отстранен от дел.

Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения за сенсетив информацию, но описанный случай не соответствует брифу Bug Bounty от Киевстар. Проблема не была найдена посредством исследования кода одного из ресурсов заявленных в брифе, и не требует устранения конкретной уязвимости в одном из сервисов компании. Таким образом, сообщение исследователя не может быть обработано в рамках процессов Bug Bounty от Киевстар.

Единственная статья с широкой трактовкой в регламенте программы, к которой можно отнести данный прецедент подразумевает поощерительное вознаграждение в размере $50, что и было предложено серчеру в дополнение к искренней благодарности.

В коментариях было мнение что мол «могли договориться по человечески». Киевстар компания с крайне строгим отношением к Compliance — мы действительно ведем бизнес честно и не отступаем от принципов под давлением. Поскольку не смотря на исчерпывающие комментарии с нашей стороны, исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com компанией данное поведение может расцениваться как вымогательство.

Со стороны BugCrowd его намерение было расценено как попытка нарушить правила использования платформы о чем исследователь был уведомлен:
“…Before engaging in any testing or submitting findings the Researcher agrees that he/she will (i) hold in confidence and not disclose to any third party any Confidential Information (CI) of Disclosing Party, except as approved in writing by Disclosing Party;..”

Действительно благодарен серчеру за то что не слил сенсетив информацию и сообщил нам об утечке, и сожалею, что программа не предусматривает большее вознаграждение за подобную информацию.

Расстроен тем что благое намерение запуска честной и прозрачной программы Bug Bounty Киевстар с уважаемым арбитром Bug Crowd, сейчас оборачивается подобными публикациями. С другой стороны это важная обратная связь для улучшения самой программы и внутренних процессов компании.
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #12 : 01, Август 2018, Среда, 15:36:26 pm »
И чуть позже:

По условиям Bug Crowd не имеем права выкладывать скрины переписки с исследователем — запросили у них разрешение.

Реплика приведенная выше и развитие диалога четко дает понять нам про намерение исследователя выложить информацию об инциденте в публичный доступ если не будет выплачено вознаграждение превышающее предложенные $50. Судя по тому что мы отказались выплачивать большую сумму и пост опубликован наша трактовка верна.
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #13 : 01, Август 2018, Среда, 15:40:58 pm »
Вывод: вымогатель лох, нужно было искать другой путь общения  ;)
Я в Твиттере https://twitter.com/gorbachevsky

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 69903
  • Пол: Мужской
  • Киевстар это шайка мошенников!
    • Награды
Re: Киевстар опять попал в Хабр и опять не хорошо
« Ответ #14 : 01, Август 2018, Среда, 15:47:21 pm »
А вот хабрачитатели не любят Султана и какают ему в карму.
Я в Твиттере https://twitter.com/gorbachevsky


 

Киевстар отказался от покойника и позаботится о Вайбере?

Автор Сергей Горбачевский

Ответов: 1
Просмотров: 1522
Последний ответ 30, Октябрь 2018, Вторник, 22:57:07 pm
от Bricks
Киевстар грозит отключить номер абонентам, звонящим в полицию

Автор Сергей Горбачевский

Ответов: 9
Просмотров: 1741
Последний ответ 24, Июнь 2019, Понедельник, 10:20:41 am
от Camael
Новая посекундная тарификация Киевстар

Автор Сергей Горбачевский

Ответов: 7
Просмотров: 3678
Последний ответ 12, Февраль 2018, Понедельник, 11:34:12 am
от kopicauS
Киевстар был признан лучшим работодателем Украины

Автор алик

Ответов: 1
Просмотров: 746
Последний ответ 14, Август 2020, Пятница, 16:26:31 pm
от Сергей Горбачевский
Новости Киевстар

Автор Сергей Горбачевский

Ответов: 12017
Просмотров: 1015112
Последний ответ 25, Сентябрь 2020, Пятница, 23:14:17 pm
от алик