October 22nd, 2008

Я

pay.megafonmoscow.ru - обходите стороной!

Не знаю как насчет оплаты (обычно данные карты через специальный шлюз идут, к которому, к счастью, не могут получить доступ продавцы), но категорически не рекомендую пытаться там зарегистрироваться! Это крайне небезопасно. Тем, кто успел оставить свой след, стоит изменить свой профиль (как удалить не нашел).
Блин, и сам лоханулся. Как минимум отсутствие https на сайте, работающем с деньгами, должно было насторожить.
Какие кретины там работают, интересно?
Написал баг-репорт Мегафону. Посмотрим, что ответят.
Я

Быстра поддержка МТС

Где-то 10-12 сентября пришла мне СМС "Бла-бла-бла, вы выиграли чего-то там". Ради интереса пробил номер отправителя, который совпадал с номером, на который надо было перезвонить для получения подарка. Оказался МТС республики Коми. Накатал письмо в поддержку МТСа, мол так и так, вот мошенники, чтобы вы посоветовали сделать?
В ответ довольно быстро пришло, что я могу обратиться в правоохранительные органы, и попросили снова указать номер, с которого пришло СМС. Указал, отправил. И вот сегодня (месяц с лишним спустя) приходит, видимо, окончательный вердикт:

Добрый день, Кирилл!
В ответ на Ваше заявление сообщаем, что Компания «Мобильные ТелеСистемы» предоставляет Абонентам услуги сотовой радиотелефонной связи и не может брать на себя функции правоохранительных органов.
К сожалению,  Компания не располагает полномочиями для расследования и пресечения фактов мошенничества, даже если мошенничество совершено с помощью телефонного номера, зарегистрированного в компании. По данному вопросу пострадавшему лицу  необходимо обращаться в правоохранительные органы. Служба безопасности Компании, со своей стороны, оказывает правоохранительным органам необходимую помощь в проведении расследования.
Благодарим Вас за обращение.

С  уважением, старший специалист
Департамента абонентского обслуживания
Анастасия Подгорная


Ну лучше поздно, чем никогда.
Жаль, я думал, что ОСС вправе заблокировать этот номер, и даже надеялся, что ОСС может инициировать расследование мошенничества. Подозреваю, что операторам (касается не только МТС) это все-таки дозволено, просто возиться не хотят. Да и лохи, звонящие из Москвы в Коми, приносят неплохие деньги.
Я

Мегафон новую услугу вводит. Жесть, как она есть.

Как уже писал Мегафон сделал портал для оплаты своих счетов через банковские карты.
http://pay.megafonmoscow.ru/ - Мегафон Москва
http://pay.megafonnw.ru/ - Мегафон Северо-Запад
Официальная новость. Полторы недели назад у меня провести платеж не получилось, и зарегистрированным у них на этом сайте пробовал, и незарегистрированным. Решил посмотреть вчера из дома, ошибка была уже более цивилизованная "В настоящий момент проводятся работы на оборудовании. Пожалуйста, попробуйте провести платеж позже."
Авторизовался на сайте, то же самое. Зашел в профиль. Хмм, странно, количество символов в пароле в профиле (они его выдают прямым текстом в скрытом поле хтмл) не совпадает с тем, что вводил я для авторизации. Посмотрел исходник страницы, действительно, пароль не тот. Разлогинился, просто написал свой ник, набрал белиберду в пароле и нажал "Войти". Опа, вошел. Сижу в шоке, пароль нигде не сохранял. Стал пробовать подобрать других пользователей. Со второй попытки попал на ник, который зарегистрирован. Я зашел под его аккаунтом просто указав его юзернейм без пароля, хотя пароль в профиле у него указан!!! Стал проверять еще, что это не боты и не тестовые пользователи. Там реально живые люди, у трети пароль в этот кабинет совпадал с паролем на указанный в профиле e-mail! Ради интереса стал подбирать имена не наобум, а смотрел на форумах, где обсуждали эту услугу и брал оттуда ники. Все работало, можно было заходить в любой профиль! Причем некоторым пользователям после такой "авторизации" предлагалось указать номер карты и сумму заблокированных средств для подтверждения привязки карты к аккаунту пользователя, и все это, естественно, через обычный http!
Естественно, никаких действий по отношению к пользователям, на которых тестил, не делал. В их почту заходил только для проверки, что это живые люди с живым мылом, письма не просматривал и нигде информацию о паролях, почтовых ящиках не сохранял и не передавал.
Сидел в шоке. Сразу же в своем профиле стер все реальные данные (как я вообще додумался региться на портале, предназначенном для работы с деньгами, без https?). Отправил баг-репорт в Мегафон Москва и отписался у себя в ЖЖ, и на форуме М-Р, где я косвенно успел дать рекламу этой услуге (естественно, описание дыры не приводил, чтобы не подставлять успевших зарегистрироваться пользователей).
Пошел в туалет. По пути пришла мысль, а может это только меня так подставили, может DNS-атака, в смысле я все это время заходил не на мегафоновский портал, или еще что? Никак не верилось, что третий по величине российский оператор может так обосраться.
Сел опять за комп, сделал whios домену, оказалось, что хостится на МастерХосте. Решил посоветоваться с другом-админом. Он тоже отхуизил этот домен, тоже очень удивился, что делает Мегафон на Мастерхосте, но проверив pay.megafonmoscow.ru через мегафоновские же DNS-сервера, сказал, что реально домен и сайт принадлежит Мегафону. Рассказал ему про обнаруженные удивительные вещи. Он тоже полазил по паре профилей, чтобы убедиться в реальности происходящего. И тоже был в шоке.
Все, точно решил ложиться спать.
Сегодня полудня получил ответ на баг-репорт.
Вот переписка:
http://pay.megafonmoscow.ru - вы там думаете вообще?!
Сейчас в профиль на этом сайте можно зайти вообще без
пароля, просто подобрав уже зарегистрированный ник! При
этом в профиле пароль в исходниках страницы светится
прямым текстом!
Вы для чего этот профиль делаете, чтобы в будущем люди
вели личный кабинет для оплаты мобилы через карты,
авторизуясь без https?! Даже если эта регистрация там
случайно появилась, люди же реальные пароли вводят,
которыми тот же самый указанный емэйл "защищают"!


Ответ:
Уважаемый Кирилл!
 Позвольте сообщить, что пароль при указании логина появляется только в том случае, если Вы на используемом Вами браузере не производите очистку Cookie.
 При использовании другого компьютера, на котором не был осуществлен вход в данную систему, при указании логина пароль необходимо установить самостоятельно.

Угу, типа отвали, чайник.
Опять пишу им:
Дело не в кукизах, а в том, что пароль просто не проверяется. В этом вы можете убедиться сами, указав, например, в логине Donz, а пароль оставить пустым. Вы залогинитесь под моим аккаунтом и сможете просмотреть мой профиль с моим паролем, который будет лежать в открытую в исходнике хтмл. Если не нравится мой ник, можете попробовать, например, Ann или подберите сами из популярных юзернеймов.
Также заметил, что некоторым пользователям уже предлагается ввести номер их карты и сумму для подтверждения прикрепления карты, насколько я понимаю. И эта информация опять же будет ходить по обычному http, как и логин-пароль в личный кабинет, если вы все-таки сделаете проверку пароля.
На сайте http://pay.megafonnw.ru/ происходит то же самое.

Больше от них ничего не было, кроме подтверждения, что мое последнее письмо дошло.
На данный момент проверку пароля все-таки включили, почему и пишу этот пост.

Итого.
1)Мегафон сделал сервис для оплаты мобильных счетов банковскими картами. Как минимум вчера, а скорее всего с самого начала любому человеку были доступны все данные профилей. Надо было только указать нужный ник.
2)Сама оплата должна проходить через шлюз банка-партнера, но на каком-то шаге мегафоновский сайт просит указать реальный номер карты, который до сих передается по незащищенному http, равно как и все данные профиля. Для справки: некоторые интернет-магазины требуют только номер карты, имя и фамилию владельца, и срок действия карты. Я так в Ирландии покупал билеты на Гиннесс и Джеймсон. Каждая покупка была 40-60 евро.
3)До сих пор в профиле за каким-то хреном пароль лежит в открытом виде в хтмл. Проще говоря, если забыл перед перекуром разлогиниться, то коллега по работе запросто может узнать твой пароль к этой системе и зайти туда как-нибудь попозже.
4)Указанные сайты хостятся почему-то на МастерХосте. Явного косяка вроде не видно, но вызывает подозрения.

Погоня за баблом и отчетами о проделанных работах начисто отрубила головной мозг? Программистов наняли на ближайшей стройке?
Короче, не ожидал я такого.
И это, люди, ни в коем случае пароль на каком-либо, пусть даже очень авторитетном и известном ресурсе не должен совпадать с паролем на почтовый ящик, который указан у вас в профиле.

Есть и позитивный момент - еще раз убедился в том, что безопасность лишней не бывает. Сменил все важные пароли.