Kyivstar pjsc

Рады представить вашему вниманию магазин, который уже удивил своим качеством!

И продолжаем радовать всех!

Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!

Такого как у нас не найдете нигде!

Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!

Наши контакты:

https://t.me/StufferMan

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!

Kyivstar pjsc

Хабр Geektimes Тостер Мой круг Фрилансим. Публикации Пользователи Хабы Компании Песочница. Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар Украина Тестирование веб-сервисов , Разработка веб-сайтов , Информационная безопасность Я являюсь клиентом украинского оператора сотовой связи Киевстар и пользователем их веб-сервиса my. Как и многие другие операторы, Киевстар предлагает веб-версию личного кабинета, в котором можно просмотреть баланс счёта, детализацию звонков, изменить тариф, заказать или отключить услугу и пр. Так же у них недавно была запущена новая версия личного кабинета new. В ней появилась интересная функция — добавление другого телефона Киевстар через смс верификацию. Я взялся её проверить на наличие уязвимостей, так как она фактически давала такой же доступ к добавляемому телефону, как и к своему, что меня не особо радовало, как клиента. Новый сайт имеет следующий интерфейс добавления телефона: Добавление производится в 4 шага: Ввод номера телефона Выбор варианта через присоединения по смс бывает ещё через статический пароль, но у меня он не отображается Ввод полученной смс. Последние три запроса из этой серии отвечают за добавление номера после пройденной ОТП верификации. И я решил проверить: Рассмотрим более детально эти последние 3 запроса. Запрос содержит номер добавляемого телефона Третий запрос на адрес new. Далее я решил повторно воспроизвести эти 3 запроса, предварительно удалив добавленный только-что телефон из личного кабинета. Для воспроизведения я использовал приложение Postman. Как и предполагалось, после обновления страницы, телефон был успешно добавлен в личный кабинет. Мы можем добавлять любой номер телефона в свой личный кабинет без СМС верификации и управлять им как своим, а именно: Как и полагается, я сразу связался с клиентской поддержкой Киевстар и попросил предоставить мне контакты службы безопасности или ответственного сотрудника отдела разработки, что бы им детально описать суть уязвимости и способ её воспроизведения. Как и стоило ожидать, мне отказали в моей просьбе и предложили прислать описание уязвимости либо в чат, либо через универсальную форму на сайте. Понимая, какие возможны риски, если подробное описание уязвимости будет доступно любому сотруднику клиентской поддержки, я всё таки настоял на своей просьбе, но опять же безуспешно. Понимая, что другого выхода нет, я оформил подробную инструкцию по воспроизведению уязвимости в файлик Google Docs, завернул его в ссылку через сервис для трекания ссылок clickmeter. Как я и ожидал, моя заявка вызвала ажиотаж и повышенный интерес среди сотрудников компании, что отобразилось в аналитике сервиса clickmeter. Заявку за 2 дня просмотрел 22 уникальный пользователь. По статистике видно, что ссылку смотрели как с компьютеров, так и с мобильных устройств. География просмотров так же не ограничилась киевским офисом, в списке Киев, Львов, Днепропетровск, Тбилиси. Анализируя статистику, становится ясно, что существующий канал связи с компанией не предназначен для подачи заявок подобного рода и может привести к утечке информации и эксплуатации её сторонними лицами до закрытия уязвимости. Стоит отдать должное компании, ответственный сотрудник со мной связался на второй день, поблагодарил и попросил убрать ссылку из общего доступа. В течении следующих нескольких недель уязвимость была закрыта, и со мной повторно связались и сообщили о том, что заявка выполнена. Эта история напоминает нам о том, что нужно более внимательно относиться к вопросам информационной безопасности в компаниях таких масштабов, как Киевстар, создавать для этого отдельные каналы связи, доступ к которым будут иметь только уполномоченные на это сотрудники. Ну а так же участие компании в bug-bounty программах или создание своей собственной так же положительно влияет на укрепление безопасности сервисов. Как уйти на пенсию до 40 лет с миллионом долларов на счету в банке 4,3k Заказы Разработка сайта для Букинга отелей 22 отклика просмотров. Разработка backend веб-сервиса 5 откликов просмотров. Требуется дизайнер веб графики 16 откликов просмотров. Веб-разработчик PHP 6 откликов просмотров. Разработать дизайн интернет-магазина 45 откликов просмотра. Меня больше удивило то, что при открытии сервиса с другого устройства используя телефон, как хотспот — авторизация не требуется. Реакция саппорта — this is feature, by design. Этим страдает не только Киевстар, но и большинство российских ОпСоСов. У Йоты нельзя поменять параметры другого своего устройства — поменяются на том, через которое вы выходите в сеть. Хотя с точки зрения интерфейса именно у другого. Такие бумажки или программки с пошаговыми инструкциями что клиенту говорить и о чем спрашивать. Если возникает нестандартная ситуация, то хороший колл-цетнр должен переключать на специалиста, у которго своя голова на плечах. Вот и меня оператор на первых порах пытался убедить, что такого быть не может, что нельзя телефон добавлять без СМС подтверждения. Как работник колл-центра скажу, что работа оператора это шаблонно-монотонная работа. Да, количество шаблонов может быть разное, но с такими случаями не обращаются вообще, или обращаются очень редко. Тем более за частую в супортах сидят девушки, которые вряд ли понимают что Вы от них хотите за гранью обычных вопросов. Собственно по этому я и сижу на Хабре, повышая свой уровень знаний. Колл-центр, который вероятнее всего попадает в департамент электронной коммерции Киевстара, вообще отдельная песня. По итогу, в нашем доме — интернет от Киевстара пропал где-то на месяц. Естественно, что ничего не происходило. И где-то на третьей неделе я написал заявление об отключении. Компания такого уровня, зная проблему в данном случае — конкурентные войны , могла бы оповестить всех клиентов, которые попали под раздачу, или хотя бы тех, которые обзванивали КЦ ежедневно, что проблема массовая и связана с тем-то, ждите. А лучше создать смс рассылку, если профиле указан номер телефона а он был указан, и связан с профилем. Да и вообще, месяц пробрасывать новые кабели — как то долго, для компании такого уровня. Не говоря уже, о том, что в процессе, тот же КЦ звонил, и предлагал тариф 80 мбит по цене, которая выше той, что была у меня на тот момент, при пропускной способности в мбит. Совокупность факторов говорит о том, что в этом департаменте у них все очень печально. Мне вот банально интересно. Хабр — такой хабр…. Если Вы обо мне, то меня приняли за сотрудника Киевстара, что таковым не является. Как вариант, попросить мобильный телефон этого оператора техподдержки и через пару минут продиктовать ей её персональные данные. Это, возможно, убедило бы в важности проблемы. Такие действия нарушают закон о защите перснональных данных и закон о тайне переписки если в персональных данных будет детализация звонков и поэтому можно попасть под статью. Я как-то раз попробовал в чате Приват24 онлайн банкинг Приватбанка в Украине сказать, что светить полное ФИО по номеру карточки в процессе оформления перевода — не есть гут, так как можно номера карточек банально перебирать, так после описания этой, гм, проблемы — чат просто молча завершили с той стороны. Нарушает ли Приватбанк этот закон о защите персональных данных? Согласно Закону Украины о Персональных данных: А я вот, взяв за основу свою карточку, поменяв пару цифр получил ФИО незнакомого мне человека, загуглив которое я нашёл где она живёт, кем работает, за кем замужем и как зовут её детей. Мне осталось только нарисовать сайт-клон Приват24 и прислать ей на почту письмо ведущее на этот клон, где я получил бы её пароль и даже код из СМС. И всё благодаря полному ФИО владельца карты по её номеру. Насколько я понимаю, если вы обнаружили на пороге своего дома коробку с кучей анкет клиентов банка, то вы можете публиковать эти документы, так как не вы обязаны охранять чьи-то персональные данные. Другое дело, если вы использовали какую-то уязвимость, чтобы получить к ним доступ. Тогда это уже нарушение закона. Хотя нет, я неправ. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Продиктовать оператору её персональные данные точно не попадает под раскрытие или распространение. А вообще интересно, как-то упустил, что оказывается персональные данные у нас охраняются строже чем гостайна. В свою очередь, бороться с этим пытаются, придумывая штрафы уже за каждый непропущенную внутрь серьезную проблему, но обычно они весьма неэффективны из-за того, что ответственность размазывается. Весьма сложно находить и доказывать. Как правило, 15 раз человек будет ломиться разными способами: Почти никто это не агрегирует в одном месте. Ага, у голосового меню тоже лимит на переключение на оператора. Сегодня звонил, предложения нажать 9 для соединения с оператором не было. А раньше у КС был лучший КЦ. По своему опыту могу сказать, что вам еще повезло: У меня для всех сообщений об уязвимостях, отправленных в этом году, статистика такая: Среди них крупная российская CRM. Почти все, кто ответил и исправил уязвимости, не просят повторно проверить на их наличие. Ну да, разработчики, которые допустили серьезные ошибки безопасности, разумеется, знают, как их искать. Вот это обычно приятно. Подключили дополнительных ежемесячных мегабайт инетрнета на 3 месяца. Это вообще шедевр, конечно. Хотя я посчитал и понял, что ваша чашка кофе может быть выгоднее. На том хостинге самый дорогой тариф стоит около рублей в месяц, так что максимум я получал выгоду рублей. А кофе иногда стоит дороже рублей. Вероятно, я неправильно понял последний абзац. При написании комментария я думал, что автор имеет ввиду, что компаниям стоит создавать открытые Bug Bounty программы, а не то, что у Киевстар есть такая программа. Хотя, как автор написал в комментарии, ему не дали денежное вознаграждение. Я помню когда-то подавался в ИТ отдел Киевстара на работу. Заполнял форму на сайте, и она всё время падала. Тогда я понял, что дело в содержимом формы. Начал заполнять форму заново, убирая блоками текст, и выяснилось, что форма падает, если в поле input встречалось слово linux. Как хорошо, что я там не работаю. Форма, падающая от слова linux? Я принесу бензин для зажигалок. Дали 3 мес интернета? Вы им хоть пользовались ранее? Буду знать, что уязвимости в КС не стоить репортить. Ни у одного банка еще не было. Ну я им и не открывал тайну. Хотя 1 раз сказал, что стоило бы добавить переадресацию с http на https в ИБ Альфабанку. Но прошло уже несколко лет, а воз и ныне там. Писал тут статью о дырах Дельтабанка, ее не пропустили, хз чего, банк-то уже был в стадии ликвидации, ИБ там не работал. Нашел дыру у хостинга. У нас в компании легко достучаться по проблеме веба. Один клиент даже генеральному недавно пожаловался, что его баг долго фиксили. На самом деле, меня немного удивляет подобный подход компаний. Давайте дадим подачку или проигнорируем сообщение, а потом удивимся, что над нашей безопасностью смеются. И пусть ее панель управления насквозь дырявая. Один исследователь решил сообщить, но его проигнорировали. Другой тоже решил сообщить, и тоже получил молчание в ответ. В результате компания получит серьезный удар по имиджу, программисты будут вынуждены экстренно писать заплатки, плюс куча злых хакеров может украсть данные и найти еще более серьезные дыры. Почему нельзя нормально ответить первому исследователю, выплатить ему тысяч и поблагодарить? Что за слепая надежда, что все будет хорошо? Таков образ мышления начальников. А еще, у компании может просто отсутствовать такая строчка в бюджете, как выплата каких-то там наград посторонним людям! При этом в личном кабинете доступны услуги: В профиле иногда можно найти ФИО, адрес, дату рождения, email. Это позволит перехватить управление над куда более критичными сервисами, чем ЛК оператора. Сегодня заинтересовался таким вопросом: Если я публикую информацию об этом и описание уязвимостей через те же две недели, я нарушаю какие-либо законы или правила? Простите, но режет глаз. Поддерживаю автора поста, мое виденье на ситуацию — Почему в Украине нет белых хакеров или история взлома Киевстар. Сейчас Вчера Неделя Встречайте первого лунного туриста 14,1k Встречайте первого лунного туриста 14,1k IT-ребус ко дню программиста Как мы авторов мотивировали: Услуги Реклама Тарифы Контент Семинары.

Kyivstar pjsc

Купить закладки кристалы в Юрге

Уфа купить Мефедрон [Cristalius 2.0]

Kyivstar pjsc

Соль закладки в ростове на дону

Купить экстази наркотик

Воронеж купить закладку бошки

Kyivstar pjsc

Купить Наркотики в Архангельске

Купить лсд марку

Kyivstar pjsc

Купить скорость в воронеже