14 октября понедельник

Хакер сообщил о критической уязвимости в Yoomoney на BugBounty.ru, но вознаграждения не получил

Хакер сообщил о критической уязвимости в Yoomoney на BugBounty.ru, но вознаграждения не получил
Обзоры 22 сентября •  runet

Хакер сообщил о критической уязвимости в Yoomoney на BugBounty.ru, но вознаграждения не получил

22 сентября 👁 10024

Независимый исследователь безопасности через платформу BugBounty.ru  сообщил об уязвимости в Yoomoney. Об этом он подробно рассказал в своем посте на Habrahabr. Проблема позволяла злоумышленникам выполнять действия от имени других пользователей, в том числе вывести деньги с любого счета, что угрожало безопасности аккаунтов и транзакций. Однако найти контакт с Yoomoney оказалось непросто — хакеру пришлось обратиться к HR-отделу компании, который перенаправил его на BugBounty.ru. Однако вместо вознаграждения аккаунт хакера заблокировали. 

Описание уязвимости

Хакер обнаружил, что ошибка в обработке пользовательских сессий создавала возможность для атак, что позволило бы злоумышленникам манипулировать данными пользователей и получить доступ к их учетным записям. 

Уязвимость, которую нашел хакер, позволяла злоумышленнику использовать сессию другого пользователя, что теоретически могло привести к тому, что атакующий мог выполнять действия от имени жертвы. Это означало, что, если бы уязвимость была эксплуатирована, злоумышленник мог бы совершить определенные операции, такие как перевод денег или получить доступ к следующим данным:

  • баланс пользователя;
  • email пользователя;
  • телефон пользователя;
  • статус идентификации;
  • ID аккаунта;
  • ID пользователя;
  • дату регистрации;
  • информацию о привязанных картах;
  • информацию о выпущенных картах;
  • информацию о текущих настройках безопасности;
  • секретный ключ (его можно потом использовать отдельно для действий от имени пользователя);
  • информацию о привязанных аккаунтах (ГосУслуги, ВК, Сбер);
  • историю транзакций с датами, суммами и типами;

“Мутная” площадка BugBounty.ru

На сайте платежной системы YooMoney хакер не смог найти контакты, для сообщения об уязвимости. Однако он смог связаться с HR компании Линой Курковой. Она подсказала ему, что писать надо на сайт BugBounty.ru. 

«На самом ресурсе нет никакой вводной информации о том, кому он принадлежит, кем разработан и как поддерживается. Складывалось впечатление, что он написан кем-то на коленке за пачку сока», — рассказал он.

Редакция Runet также проверила данный сайт. Кроме указанного номера телефона и электронной почты на сайте нет никакой информации о том, кому площадка принадлежит. Домен BugBounty.ru зарегистрирован на частное лицо, что является, мягко говоря, необычным для таких ресурсов. При регистрации на сайте, пользователь должен согласиться с некими правилами и поставить галку в чекбоксе. Однако ссылки на какие-либо документы отсутствуют (сохраненная страница). Чаще всего именно в них содержится информация о компании и указан ИНН. Номер телефона, который указан на сайте — принадлежит фирме «Киберполигон», в которой владельцем и гендиректором является Лука Владимирович Сафонов. Он ранее работал директором департамента информационной безопасности АО «Национальная инжиниринговая корпорация». В прошлом — руководителем Лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет»

Выбора нет

Поскольку альтернатив куда направить информацию не было, поэтому пользователь подал отчет через BugBounty.ru, объяснив, что уязвимость могла серьезно повлиять на безопасность финансовых операций.

По его мнению, поскольку уязвимость была критической, компания должна быть заинтересована в ее устранении и на это может потребоваться всего несколько часов. Но в компании не спилили с этим. 

“Спустя два месяца, ночью с 3 на 4 сентября я обнаружил, что уязвимость, наконец, закрыли. Захожу в BugBounty.ru, вижу, что репорт все еще висит в статусе «Рассмотрение», — отметил хакер.

Ответ Yoomoney — в выплате отказано

Компания отказалась выплачивать вознаграждение, мотивировав это тем, что проблема была уже известна.

«Мы проверили ваш отчет, но о данной уязвимости нам было уже известно. К сожалению данный отчет признаем дубликатом и выплат за него не будет. Будем ждать других ваших отчетов,» — сообщили в Yoomoney.

Трудности взаимодействия с программой bug bounty

Хакер был разочарован не только отказом, но и сложностью взаимодействия с компанией. По его словам, отсутствие четких контактов и медленная реакция на отчет создают негативные условия для работы исследователей. 

«Мне, тем временем, предлагается поверить, что на протяжении 2 месяцев критическая уязвимость была на их сайте, им якобы об этом было известно и они не предпринимали абсолютно никаких мер по её устранению, пока я не направил им отчёт. А потом совершенно случайно так совпало, что я им написал и они закрыли эту уязвимость. При этом никаких ссылок не приводится, а общее число отчетов на сайте сервиса для баг-репортинга не изменилось. При этом до закрытия уязвимости отчет в статус «Дубликат» никто не переводил, в том числе, сотрудник, принявший отчет в работу изначально», — сетует хакер.

По его слова, никаких подтверждений того, что действительно уязвимость была ранее известна — не представили. 

“Вместо этого сказали «это подтверждается нашими внутренними документами» и всё, а документы мы вам не покажем, поверьте нам на слово», — отметил он. 

Удаление из программы bug bounty YooMoney 

Хакер рассказал, что площадка BugBounty.ru удалила после скандала его учётную запись c отчётом об уязвимости, “будто их никогда не существовало”. 

Запрос в YooMoney 

Редакция направила запрос в YooMoney с просьбой предоставить ответы на следующие вопросы:

  1. На площадке BugBounty.ru нет информации о её владельцах. Почему вы выбрали эту малоизвестную и, следовательно, сомнительную платформу для проведения программы Bug Bounty?
  2. Кому принадлежит эта площадка? И почему белые хакеры должны ей доверять?
  3. Хакер утверждает, что давно нашёл уязвимость, причём критическую, позволяющую украсть данные пользователей и даже их деньги. На её устранение, по его словам, потребовалось бы всего несколько часов, однако уязвимость оставалась доступной несколько недель. Почему подобные уязвимости не были устранены оперативно?
  4. Почему хакеру не выплатили вознаграждение и не сообщили, что эта уязвимость уже была известна? Особенно с учётом того, что она была критической, как указано в п. 3.
  5. Поскольку уязвимость нашёл один хакер и она долго оставалась неустранённой, могли ли данные пользователей быть украдены кем-то ещё? Какие есть гарантии, что эта уязвимость не была использована злоумышленниками?

Редакция Рунет ожидает ответа на запрос и если он поступит, комментарий будет добавлен в этот текст.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.