Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане как из этого родился полноценный международный стартап.

В конце 2020 года Комитет информационной безопасности Министерства цифрового развития Республики Казахстан в рамках проведения киберучении в стране, предложил нам организовать возможность независимым исследователям по кибербезопасности найти и сдать уязвимости в информационных системах государственных органов. В рамках этой инициативы мы (TSARKA - лидер в области кибербезопасности в Центральной Азии) предложили собственную платформу Tumar.One .

Если честно, наши ожидания были очень скромные. Мы ожидали получение всего лишь пару десятков уязвимостей и участие не более 100 зарегистрированных багхантеров.

Спустя год пилотирования данной программы на всю страну мы сейчас имеем порядка 1200 независимых исследователей со всего мира, и сдано более 1000 уязвимостей.

Сформировался уже Leaderboard багхантеров, который обновляется каждый сезон.

После пилотирования данной программы с государством к нам начало приходить очень много коммерческих клиентов. Платформа органически выросла из чисто казахстанской платформы в отдельный стартап, который прошел в мировую акселерационную программу Plug and Play.

Расскажем несколько кейсов, которые были выявлены в рамках пилотирования национальной платформы, чтобы показать результаты и почему для государства это является одной из важнейших инициатив.

Самые распространенные уязвимости связаны были с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных).

Кейс 1: Доступ к системе управления системой водоснабжения г. Нур-Султан

Один из любимых наших кейсов и, наверное, один из самых критичных. Багхантер изучал пару недель документы столичного акимата (мэрия) и в одних из документах нашел упоминание системы управления водоснабжением города и адрес системы, что дало ему возможность получить доступ к административной панели управления.

К удивлению багхантера логин и пароль оказались: admin:admin .

Кейс 2: Доступ к КПП обьекту силовых органов

Багхантер смог получить доступ к панели администратора, используя имя пользователя и пароль по умолчанию: admin:admin

В результате багхантер смог получить доступ к конфигурации и базе данных Face Server, которая содержала более 5000 записей и включала в себя: личные фотографии лиц, имена сотрудников итд. Также доступ к панели может быть использовано для получения физического доступа к охраняему обьекту, добавив поддельные данные в систему.

Кейс 3: Утечка медицинских данных 7 млн граждан

Один из исследователей, получив ПЦР справку, обнаружил IDOR в системе, позволяющую получить доступ к медицинским справкам (Анализ крови, пцр тесты, ВИЧ-анализы, ЗППП-анализы итд) 7 миллионов граждан. Уязвимость была оперативно устранена в течение 1-2 дней владельцем системы.

Кейс 4: Онлайн перепись населения

В прошлом году в Республике Казахстан была запущена платформа онлайн переписи населения. После запуска в течение пары часов багхантеры зарепортили уязвимость, позволяющую получить доступ в личный кабинет гражданина и, следовательно, изменить его данные.

Кейс 5: Уязвимость Mail.Kz - портал электронной почты

Специалистом @ptswarm Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.

Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.

Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.

Кейс 6: Электронное правительство Республики Казахстан

Порядка 60 уязвимостей Электронного правительства, включая две XXE уязвимости, оперативно были устранены работниками Электронного правительства.

Кейс 7: Банки второго уровня

В рамках меморандума с Национальным Банком РК, были проведены работы по выявлению и анализу уязвимостей на веб-ресурсах банков второго уровня

По итогу пилотирования, исследователями сдано было около 1000 уязвимостей в государственных информационных систем Казахстана, что подтверждает, что это была одна из самых успешных инициатив для национальной безопасности страны.

На данный момент клиентами платформы являются:

4 марта 2022 года договорились о сотрудничестве с Лабораторией Касперского и ГКНБ Кыргызстана в запуске программы по выявлению уязвимостей в Республике Кыргызстан. Ожидается в ближайшее время подключение банков второго уровня к данной платформе.

За все время выплачено уже порядка 100 000 долларов. Это не так много, но нужно учитывать, что это первый опыт в СНГ по запуску такой платформы. До конца 2023 года на выплаты выделено 700 000 долларов. В процессе подключения порядка 400 систем.

Выплаты организовываются как зарубежным багхантерам, так и российским.

Однако запуск платформы не самая легкая задача. Со времени запуска мы столкнулись со следующим рядом проблем в виде:

- Шантажирование одним из исследователей нашего клиента после сдачи уязвимости на платформе.

- Долгое реагирование со стороны госорганов и исправление уязвимостей. Иногда это занимало до 3 месяцев.

- Недобросовестность со стороны некоторых компании в части продажи одному из госорганов Республики Казахстан несуществующей багбаунти площадки.

Работа данной платформы неограничена только выявлением уязвимостей. Мы работаем над введением платформы в законодательство РК.

В закон Республики Казахстан "Об информатизации" вводятся такие положения, как:

Работы по платформе на самом деле много и мы получаем большое количество "хотелок" от наших клиентов. Уже на днях реализуется интеграция с Jira, в скором времени будет возможность выбирать отдельных багхантеров под ваш проект, но основное, на чем мы сейчас фокусируемся - это On-premise решение.

On-premise платформа

В данный момент мы пилотириуем подобное решение в Республике Кыргызстан, но уже есть большая потребность и от других наших клиентов по всему СНГ.

Возможность разворачивания on-premise платформы отдельно у себя дает:

Наличие BugBounty программы - дефакто стандарт сейчас для любого крупного проекта и является экономически эффективным решением, а также служит мостом между этичными хакерами и компаниями/государством.

Спасибо за внимание и будем рады видеть вас на нашей платформе =)