Kyivstarの脆弱性：1）パスワードに関する以前の投稿の分析+ 2）Kyivstarサービスを通過する購入に関する情報

こんにちは 私は6か月前に、JIRA、Amazon Web Services、Apple Developer、Google Developer、Bitbucketなどの重要なサービスからKyivstarログインとパスワードを受け取り、Bug Bountyに登録し、私の出版物の再投稿について50ドルのさまざまなコメントを受け取った人です。



例：

• 実際、Habr、33,000ビュー、188コメント： Kyivstarのバグ報奨金：Jira、AWS、Apple、Google Developer、Bitbucketサービスへの管理者アクセスに対する報酬-50ドル
• AIN.UA、12,000ビュー： テスターはKyivstarの企業サービスにアクセスできました。 彼はわずか50ドルを提供されました
• ITC.ua、350件のコメント： Kyivstarはユーザーに企業システム用の見つかったパスワードに50ドルを提供しましたが、彼は不満でした。
• Ebanoe.IT、26,000ビュー、169コメント： ハッカーは、キエフスターシステムで見つかった脆弱性に対する50ドルの配布資料で立ち往生しました

ご支援とコメントありがとうございます！ 投票結果：







何らかの理由で、私はその時いくつかのコメントに答えませんでしたが、私は今答えなければなりません。



Kyivstarの従業員の作業中のブラウザーからブックマークが付いた手紙を誤って受け取ったことを思い出させてください。 113のブックマークすべてを順番に開いて、それらの中にサービス名、ログイン、パスワード、その他の情報を含むファイルを見つけました。 はい、ファイルは「全員」のアクセス権を持つGoogleドキュメントにありました。





同僚のイゴールパピシェフがFacebookで意見を述べたとき、他の尊敬すべき人物（ウラジミールスタイラン、情報セキュリティスペシャリスト-CISSP、CISA、OSCP、CEH）がこの状況に否定的に対処し、彼がそうではなかったとYegorに書いたのを聞くのは不快でした彼は詳細を知っていて、状況を理解しませんでした。



同時に、ウラジミール自身も状況を理解していませんでした。 ここに彼のpost笑的な投稿があります：







最後のいくつかの点について翻訳し、コメントします。

• ベンダーにバグを通知したブローカーのサポートが、支払い額を上訴するのに役立つことを知らない場合、実際、これは三者関係における役割の1つであるため、これはお粗末です。 -私に対応するBugcrowdのサポートは、私の意見と、キエフスターが間違っていて、もっと支払うべきだという多数意見を繰り返し支持しました。 「ブローカー」はオペレーターに影響しませんでした。 落ちたのは私ではありませんでした。
• 支払いが増加しない場合にFull Disclosureベンダーを脅し始めた場合、これは恐exまたは恐mailと呼ばれます。 しかし恐らく恐exと呼ばれるでしょう。恐mailのコードには記事がないからです。 -恐blackや恐exはありませんでした。 脅威はありませんでした。 ウラジミールがその報告書を読んでいたら、これについて知っていただろう。 特徴的に、Bugcrowdの私のアカウントは、Habréの投稿直後ではなく、FBの他の苛性的な投稿と同時に1週間のうちのどこかでブロックされました（これは恐れられません）。
• バグがない場合は、Habréでそれについて読み、N個のいいね！と+ M人のフォロワーを獲得するためにFacebookページでそれについて話した後、あなたはブロガーであり、誇りに思うことは何もありません。 -追加するものはありません。

しかし、私が学んだように、ウラジミールはキエフスターのバグ報奨金の打ち上げに参加したので、彼はぼやけた目をしていると思います。



続けましょう。 簡単な例：Apple Developer、私の投稿でコンソールのスクリーンショットを見ました。

パスワードファイルには行と列も含まれていました。特にAppleの場合、次のことが示されました。最終変更日-2016年5月18日。



つまり Apple Developerアカウントのデータが2016年5月に最後に編集されたとき-手紙を受け取ってリンクが見つかる1年以上前。 これも、指定されたパスワードでログインできたことで確認できます。



したがって、キエフスターのビジネスプロセスの安全性について言えば、次のように要約できます。

• ユーザー名とパスワードが、Everyoneアクセス権を持つGoogle Docs外部パブリックリソースに保存された（または保存された？）だけでなく、
• 入力には2要素認証が必要なだけでなく、
• 多くのパスワードが辞書であり、選択が簡単で、（変更された）upsups92、suchapassword、DigitTeam2017、Digital2016、Kyivstardigteam2017、ks-anya $ bd2016、KSDIigit2018、
• そのため、これらのパスワードは1年以上変更されていません。

他に何。 多くの人は、なぜ5800ドルというこのような奇妙な金額が示されたのか、なぜ正確に6000ドルではないのか、なぜ100万ドルだけではないのかを理解していませんでした。 -「彼の意見では、口座の公式価値のみが5800ドルを超えています。」



この質問に対する答えは、Habréの最初からのものでしたが、気づかれていませんでした。

（画像を拡大するには、新しいタブで開きます）

ここで重要なのは「 新しいタブで開く 」です-画像をクリックすると（ 直接リンク ）、画像全体が開き、他の列も表示されます：最終変更日、支払期限（日付）、必要期限（日付）、プロジェクト（ASUP）支払いの種類、コスト、通貨。



「コスト」列の数字を単純に合計すると、5800ドルという数字を受け取りました。これは、リストされたサービスの公式（私が発明したものではない）コストです。これはBugcrowdのレポートで示しました。



Soultanが嘘をついたので、私はこの金額または他の金額を要求せず、要求しませんでしたが、彼らの指示された報酬50ドルと最小限の可能な損害とを比較しました-簡単に言えば、彼らが購入したサービス> 5800ドルへのアクセスの損失です。



次。

誰もが興味を持っている場合、少し前にKyivstarのBugBountyプログラムは完全に閉じられ（プライベートモード、つまり閉じられていません）、ここでコメントに答えたSoultanの従業員は最近Kyivstarを去りました。



ちなみに、彼は会社を辞めることについての別れのメモにあるコメントに、「幸運を祈って、Vitaliy！」と書いています。 そのようなこと。

元の投稿を少し更新して、上記の情報を追加しました。 私はこれについてgloめていません。 彼らはそれから間違いを犯しました-おそらく彼らは代価を払っています。



尋ねられたコメントのpyrk2142 ：

これはまったく予想外です。 ここの情報はもはや関係ないことが判明しましたか？

キエフスターのバグ報奨金に関する情報は無関係です。顧客ではない場合でも、キエフスターの決済サービスを通過する人々の購入に関する情報を受け取る機会を見つけました。 私は会社にもう一度チャンスを与えましたが、彼女はそれを使いませんでした 。



だから、キエフスターのサービスを通過する購入についての情報は、後者の非クライアントのカードにもあります。



ある会社のアプリケーションをテストすると、KyivstarがVisa QR Payments-mVisa-qrpayments.kyivstar.uaを介した支払いを使用した支払いの協力の枠組みで支払いプロバイダーとして機能していることがわかりました 。



これらは、次のような販売時点での顧客トランザクションです。

• クレマカフェ、キエフ、
• スマチノ、キエフ、
• キエフのサードフロアカフェ-最初の、そして最も頻繁に行われるオペレーションはここにありました。 どうやら、これはKyivstarオフィスの3階にあるカフェで、QR支払いのテストを開始したようです。
• オーシャン、キエフ、
• オーシャン、リヴィウ、
• Auchan、Dnipropetrovska-Auchanハイパーマーケットチェーン（ウクライナ）;
• mVisaマーチャント;
• GIVC、キエフ-GIVC、メイン情報およびコンピューティングセンター、キエフ。 ここでは、キエフの住民の公共料金の大部分の料金と計算。
• GERC、オデサ-HERZ、市統一集落センター、オデッサ。 同様に、GIWCはより高く、カバレッジはさらに大きくなります。このサイトは、オデッサの人口だけでなく、キエフ、ベルゴロドドニスター、レニ、チェルノモルスク、ユジニーなどの都市も対象としています。
• などなど

受信したデータの例：

{"Id":1305 Date:"2018-10-05T15:15:42.3921295" State:0 Amount:-1278.8100 TipsAmount:0.0000 Currency:"UAH" MerchantName:"Auchan" MerchantCity:"Lviv" MerchantId:"4109499405597549" ApprovalCode:"516634" ReferenceNumber:"" CardNumber:"5375XXXXXXXX3858"} {"Id":1308 Date:"2018-10-06T12:43:31.1179667" State:3 Amount:-4192.9700 TipsAmount:0.0000 Currency:"UAH" MerchantName:"Auchan" MerchantCity:"Kyev" MerchantId:"4109494835704666" ApprovalCode:"" ReferenceNumber:"827991150697" CardNumber:"4824XXXXXXXX6937"} {"Id":1702 Date:"2018-12-06T18:40:02.657213" State:3 Amount:-81.0000 TipsAmount:0.0000 Currency:"UAH" MerchantName:"GIVC" MerchantCity:"Kiev" MerchantId:"4109499632222754" ApprovalCode:"605231" ReferenceNumber:"834091189417" CardNumber:"5168XXXXXXXX9997"}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サービスは、正しい「Authorization」および「Map-AuthToken」のみでリクエストに応答しました。最後にはBase64でエンコードされた{"alg":"RS256","kid":"33E283272B0433E283281FF404CA6F031E28320","typ":"JWT"}{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone":"0800300466", "http://schemas.lime-systems.com/identity/claims/authId":"1199333", "http://schemas.lime-systems.com/identity/claims/userId":"25046", "http://schemas.lime-systems.com/identity/claims/deviceId":"12342", "nbf":1541370000, "exp":1541380001, "iat":1541390001, "iss":"http://localhost", "aud":"http://localhost"}



およびその他のデータ。



ただし、リクエストに上記の正しいパラメーターを含める必要があるにもかかわらず、Map-AuthTokenを受信すると、 https： //qrpayments.kyivstar.ua/map/api/consumers/の形式のアドレスに対してGETリクエストを何度も実行することができました。



また、2018年4月16日の発売以来、それほど多くの操作は実行されませんでしたが（〜2000個）、取得したデータ自体は重要ではありませんが、この状況は驚くべきものです：

Kyivstarを使用せず、 A uchanカードでB ank銀行カードを支払うだけでも、ハッカーはK Cプロバイダーをハッキングしてあなたに関する情報を取得できます。



支払いカードの分野では、説明に適した状況があります：単一の妥協点-それは、端末、ATM、商社、取得者、異なる顧客の異なるカードからの盗難が盗まれた処理センターである可能性があります。



この携帯電話事業者に状況を転送します。1つのサービスをハッキングすると、複数のサービスから情報を取得できます。

---

この資料を公開する前に、キエフスターに2度目のチャンスを与えました。3つの手紙をbounty@kyivstar.netに送りました。



念のため、パスワードが漏洩した状況で示されていないボックスから送信されました。 手紙は届きましたが、自動返信でもフィードバックはありませんでした。



ご理解のとおり、この脆弱性はカバーされていないため、詳細を説明することはできません。 ただし、すべてが明確です。