Студентка ДВФУ «хакнула» сервис одной из компаний, получив доступ к данным

2 дек. 2021 г., 18:28:06

После этого девушка сообщила об этом компании, благодаря чему вошла в «зал славы» багхантеров

Магистрантка ДВФУ Софья Личковаха получила доступ к внутренним сервисам сайта компании, выполняя одно из учебных заданий. Софья рассказала об уязвимости самой компании, за что получила сертификат и вошла в «зал славы» багхантеров – в список людей, которые нашли баги и получили доступ к внутренним сервисам различных компаний, сообщает РИА VladNews со ссылкой на пресс-службу ДВФУ.

Софья Личковаха обучается в магистратуре по направлению «Кибербезопасность» Института математики и компьютерных технологий ДВФУ (ИМКТ ДВФУ). Софья выполняла одну из лабораторных работ по дисциплине «Аудит безопасности информационных систем». Согласно заданию, обучающимся нужно было найти уязвимости в продуктах или сайтах компаний, участвующих в программах, которые вознаграждают белых хакеров за поиск уязвимостей в их продуктах.

Старший преподаватель ИМКТ ДВФУ Сергей Зотов занимается поиском багов по программам Bug Bounty, чему обучает студентов направления «Кибербезопасность»:

«На своих занятиях я учу студентов этичному взлому и даю практические знания, которые помогут построить карьеру багхантера или пентестера. Как раз одним из заданий было найти уязвимости в сервисах компаний на основе открытых источников, одним из которых оказался внутренний сервер одной из крупных компаний», – обозначил Сергей Зотов.

Связавшись с компанией после выявления уязвимости и сообщив об этом, Софья получила сертификат и вошла в «зал славы» багхантеров.

«Для выполнения мы составили список обязательных инструментов, с помощью которых нужно было найти информацию об одной из компаний, участвующих в программе Bug Bounty. С помощью Censys я нашла внутренний сайт сотрудников компании, где содержалась различная информация, от внутренних инструментов до ссылок на рабочие встречи сотрудников. Я посчитала важным сообщить об этом, так как имея доступ к подобной информации, можно нанести ущерб как репутации организации, так и их пользователям», – рассказала Софья Личковаха.

Отметим, что цель магистерской программы «Кибербезопасность» – подготовка специалистов в области тестирования безопасности систем, разработки систем безопасности, вирусной аналитики и SOC специалистов.