Кирилл Данилов (donz_ru) wrote,
Кирилл Данилов
donz_ru

Categories:

Мегафон новую услугу вводит. Жесть, как она есть.

Как уже писал Мегафон сделал портал для оплаты своих счетов через банковские карты.
http://pay.megafonmoscow.ru/ - Мегафон Москва
http://pay.megafonnw.ru/ - Мегафон Северо-Запад
Официальная новость. Полторы недели назад у меня провести платеж не получилось, и зарегистрированным у них на этом сайте пробовал, и незарегистрированным. Решил посмотреть вчера из дома, ошибка была уже более цивилизованная "В настоящий момент проводятся работы на оборудовании. Пожалуйста, попробуйте провести платеж позже."
Авторизовался на сайте, то же самое. Зашел в профиль. Хмм, странно, количество символов в пароле в профиле (они его выдают прямым текстом в скрытом поле хтмл) не совпадает с тем, что вводил я для авторизации. Посмотрел исходник страницы, действительно, пароль не тот. Разлогинился, просто написал свой ник, набрал белиберду в пароле и нажал "Войти". Опа, вошел. Сижу в шоке, пароль нигде не сохранял. Стал пробовать подобрать других пользователей. Со второй попытки попал на ник, который зарегистрирован. Я зашел под его аккаунтом просто указав его юзернейм без пароля, хотя пароль в профиле у него указан!!! Стал проверять еще, что это не боты и не тестовые пользователи. Там реально живые люди, у трети пароль в этот кабинет совпадал с паролем на указанный в профиле e-mail! Ради интереса стал подбирать имена не наобум, а смотрел на форумах, где обсуждали эту услугу и брал оттуда ники. Все работало, можно было заходить в любой профиль! Причем некоторым пользователям после такой "авторизации" предлагалось указать номер карты и сумму заблокированных средств для подтверждения привязки карты к аккаунту пользователя, и все это, естественно, через обычный http!
Естественно, никаких действий по отношению к пользователям, на которых тестил, не делал. В их почту заходил только для проверки, что это живые люди с живым мылом, письма не просматривал и нигде информацию о паролях, почтовых ящиках не сохранял и не передавал.
Сидел в шоке. Сразу же в своем профиле стер все реальные данные (как я вообще додумался региться на портале, предназначенном для работы с деньгами, без https?). Отправил баг-репорт в Мегафон Москва и отписался у себя в ЖЖ, и на форуме М-Р, где я косвенно успел дать рекламу этой услуге (естественно, описание дыры не приводил, чтобы не подставлять успевших зарегистрироваться пользователей).
Пошел в туалет. По пути пришла мысль, а может это только меня так подставили, может DNS-атака, в смысле я все это время заходил не на мегафоновский портал, или еще что? Никак не верилось, что третий по величине российский оператор может так обосраться.
Сел опять за комп, сделал whios домену, оказалось, что хостится на МастерХосте. Решил посоветоваться с другом-админом. Он тоже отхуизил этот домен, тоже очень удивился, что делает Мегафон на Мастерхосте, но проверив pay.megafonmoscow.ru через мегафоновские же DNS-сервера, сказал, что реально домен и сайт принадлежит Мегафону. Рассказал ему про обнаруженные удивительные вещи. Он тоже полазил по паре профилей, чтобы убедиться в реальности происходящего. И тоже был в шоке.
Все, точно решил ложиться спать.
Сегодня полудня получил ответ на баг-репорт.
Вот переписка:
http://pay.megafonmoscow.ru - вы там думаете вообще?!
Сейчас в профиль на этом сайте можно зайти вообще без
пароля, просто подобрав уже зарегистрированный ник! При
этом в профиле пароль в исходниках страницы светится
прямым текстом!
Вы для чего этот профиль делаете, чтобы в будущем люди
вели личный кабинет для оплаты мобилы через карты,
авторизуясь без https?! Даже если эта регистрация там
случайно появилась, люди же реальные пароли вводят,
которыми тот же самый указанный емэйл "защищают"!


Ответ:
Уважаемый Кирилл!
 Позвольте сообщить, что пароль при указании логина появляется только в том случае, если Вы на используемом Вами браузере не производите очистку Cookie.
 При использовании другого компьютера, на котором не был осуществлен вход в данную систему, при указании логина пароль необходимо установить самостоятельно.

Угу, типа отвали, чайник.
Опять пишу им:
Дело не в кукизах, а в том, что пароль просто не проверяется. В этом вы можете убедиться сами, указав, например, в логине Donz, а пароль оставить пустым. Вы залогинитесь под моим аккаунтом и сможете просмотреть мой профиль с моим паролем, который будет лежать в открытую в исходнике хтмл. Если не нравится мой ник, можете попробовать, например, Ann или подберите сами из популярных юзернеймов.
Также заметил, что некоторым пользователям уже предлагается ввести номер их карты и сумму для подтверждения прикрепления карты, насколько я понимаю. И эта информация опять же будет ходить по обычному http, как и логин-пароль в личный кабинет, если вы все-таки сделаете проверку пароля.
На сайте http://pay.megafonnw.ru/ происходит то же самое.

Больше от них ничего не было, кроме подтверждения, что мое последнее письмо дошло.
На данный момент проверку пароля все-таки включили, почему и пишу этот пост.

Итого.
1)Мегафон сделал сервис для оплаты мобильных счетов банковскими картами. Как минимум вчера, а скорее всего с самого начала любому человеку были доступны все данные профилей. Надо было только указать нужный ник.
2)Сама оплата должна проходить через шлюз банка-партнера, но на каком-то шаге мегафоновский сайт просит указать реальный номер карты, который до сих передается по незащищенному http, равно как и все данные профиля. Для справки: некоторые интернет-магазины требуют только номер карты, имя и фамилию владельца, и срок действия карты. Я так в Ирландии покупал билеты на Гиннесс и Джеймсон. Каждая покупка была 40-60 евро.
3)До сих пор в профиле за каким-то хреном пароль лежит в открытом виде в хтмл. Проще говоря, если забыл перед перекуром разлогиниться, то коллега по работе запросто может узнать твой пароль к этой системе и зайти туда как-нибудь попозже.
4)Указанные сайты хостятся почему-то на МастерХосте. Явного косяка вроде не видно, но вызывает подозрения.

Погоня за баблом и отчетами о проделанных работах начисто отрубила головной мозг? Программистов наняли на ближайшей стройке?
Короче, не ожидал я такого.
И это, люди, ни в коем случае пароль на каком-либо, пусть даже очень авторитетном и известном ресурсе не должен совпадать с паролем на почтовый ящик, который указан у вас в профиле.

Есть и позитивный момент - еще раз убедился в том, что безопасность лишней не бывает. Сменил все важные пароли.

Tags: it, mobile, мегафон
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments