«Мегафон» «знает», что это именно вы сейчас обращаетесь на сайт и даёт такую возможность.
Для запрещения этой фичи в том же Сервис-Гиде есть настройка «Управление автоматическим входом», однако она не работает. Т.е. она находится в позиции запрещено, но на самом деле вход разрешён.
В итоге, вы никогда не трогали эту галочку, убедились что она в позиции «запрещён», но такой вход оказался разрешен.
Какие проблемы безопасности это может вызвать?
1. Если вы раздаёте интернет другим пользователям, все они имеют доступ к управлению вашим лицевым счётом.
2. Такой же доступ имеет всё ПО, которое запущено на всех (ваших) устройствах которым вы раздали интернет. Тут можно возразить что нечего, мол, запускать непонятное (троянское) ПО, однако, один из основных способ защиты от вредоносного ПО — это разграничение привилегий. Здесь же мы видим, что любое ПО с нулевыми привилегиями в системе имеет доступ к вашему лицевому счёту.
3. Вопросы всяких XSS уязвимостей — не изучены.
Да и сам Мегафон, вроде как, понимает опасность. В новой версии «Личного Кабинета» (где такой уязвимости нет), висит предупреждение:
Две недели назад я сообщил об этой проблеме саппорту, однако в ответ мне пришло следующее:
Учитывая, что пароль из 120 символов (как рекомендовано здесь) не очень удобно диктовать по телефону, и то, что пароль, в общем-то, здесь не нужен, я составил новое обращение с просьбой разобраться без пароля. Однако мне ответили стандартной отпиской.
Так же был найден пост в интернетах, свидетельствующий о том, что это проблема уже давно существует, либо регрессия.
Пора писать на Хабр, подумал я.
Может такая проблема у одного меня? Задал вопрос на Тостере — откликнулся один человек и подтвердил проблему.
UPD: Мегафон пофиксил проблему с беспарольным входом. Проверил на своём телефоне — действительно, галочка осталась в режиме «запрет» и запрет реально работает, вход без пароля не возможен. Бобро всегда побеждает!
Комментарии (80)
SamKrew
16.08.2015 18:06+44Пароль для личного кабинета? Что?
onix74
16.08.2015 18:22+31У меня слов нет (нематерных)! Много лет назад я с ними уже «бодался» по поводу требования их техподдержкой моего пароля от личного кабинета. До сих пор требуют. Пипец! (Извините!)
namespace
17.08.2015 13:56-10Пипец! (Извините!)
Не, ну это ты конечно грубо зашел! Не надо так ругаться, у нас же тут профильное IT-сообщество, нехорошо так говорить! На Вашем месте следил бы за речью!!!
eugzol
17.08.2015 14:24+27Во-во, нет чтобы «пиздец» написать. Как дети, ей-богу.
namespace
17.08.2015 14:46-15Ты чтооооо, чекааай, на хабре теперь за мат банят!
eugzol
17.08.2015 14:52+14Это технический термин.
namespace
17.08.2015 15:24-4Меня, чтобы далеко не ходить, за «пиздец» несколько месяцев назад банали (в комментариях в профильном хабе). Не знаю, что там мат, а что — нет, но инцидент имеет место быть!
urbain
17.08.2015 17:22+4Вопрос просто в уместности крепких выражений в каждом отдельном посте.
Иногда они уместны и придают яркую экспрессивную окраску сообщению или могут использоваться в качестве сочного юморка, но чаще выглядят как птушное хорохорство.
Обычно большинство людей не против использования мата в уместных ситуациях.
Ваше «тыачоо» и «чекаай» выглядят нелепо, словно во дворе дети ругаются, это другим и не нравится.
ComodoHacker
16.08.2015 18:35+3Могу предположить, что на первой линии поддержки сидят люди с улицы, которым доступ ко всем личным кабинетам не доверяют. Поэтому они просят пароль в каждом конкретном случае. Чтобы зайти в ЛК, увидеть, что автовход отключен и отписать «Извините, проблема не подтвердилась». Ведь проверить наличие или отсутствие автовхода с вашей симки они все равно не смогут.
vsespb
16.08.2015 18:42+3Это ещё хуже, чем если бы у них был доступ ко всем личным кабинетам (с логгированием и контролем). Получается они безконтрольно могут собирать пароли юзеров.
Я уж не говорю про то что про сообщения о уязвимостях компания должна как-то адекватно реагировать, вне зависимости от того как они организовали техподдержку.Serator
16.08.2015 20:39+8При получении пароля к личному кабинету по SMS во входящем сообщении говорится: "… НЕ СООБЩАЙТЕ ЭТОТ ПАРОЛЬ НИКОМУ, в т.ч. сотрудникам МегаФона!". (стилистика текста как во входящем SMS) Сл-но, они не могут просить этот пароль, ибо это будет противоречить их же указаниям.
Phizio
17.08.2015 09:25Увы, не говорится этого в смс ) Они присылают короткое сообщение: 'Пароль *** будет установлен через несколько минут'. И все. Им слишком дорого писать тебе длинные смс с предупреждениями о том, что нельзя сообщать пароли кому-либо )) разорятся бедняги!
Serator
17.08.2015 11:17+3Я это из реального SMS скопировал. :) Видимо в разных регионах разные SMS шлют.
KorDen32
17.08.2015 16:56+3Им слишком дорого писать тебе длинные смс
А с другой стороны, мне иной раз так и хочется видеть в том же сбербанке галку типа «Pro user», которая уберет из SMS все эти грозные напоминания — при плохой связи часто приходит все что не нужно, но не последняя часть с паролем. Я не против получать доп. информацию об операции, скажем номер счета и т.д. (например, в яндекс.деньгах приходит только пароль и поставщик), но там столько лишних слов, создающих кучу частей…
Iceg
16.08.2015 21:20+3А попробуйте пожаловаться на вымогательство паролей сотрудниками мегафона.
vsespb
16.08.2015 21:24+5Куда?)
Iceg
16.08.2015 22:28+7черт, действительно, не обратно в мегафон же)
m08pvv
17.08.2015 09:26В службу безопасности мегафона?
Zerstoren
17.08.2015 09:39+19И там попросят пароль от личного кабинета.
tundrawolf_kiba
17.08.2015 12:50+1>от личного кабинета.
… вашего интернет-банка.vsespb
17.08.2015 12:55+5Кстати об интернет банках. Если у оператора появится услуга типа «переадресация SMS», подключаемая через Веб,
то в таком случае плакали все защиты интернет банков смс авторизацией.
В сценарии когда компьютер скомпрометирован, получается что он и пароли к интернет банку перехватит, и форвардинг смс включит.
Будет что-нибудь типа этого www.banki.ru/services/responses/bank/response/4867553
bougakov
17.08.2015 15:35+1У МегаФона в plus.messages.megafon.ru/onebox/mix2.do SMS от Сбербанка и Яндекс.Денег не отображаются. Другие банки не проверял.
vsespb
17.08.2015 15:39хмм… я думал что лучшая защита от этой услуги — не подключать её.
но тут выясняет что войти в неё с паролем от сервисгида — это и значит автоматически её подключить.
ну, в прочем, пока нет оснований полагать что там (был/есть) автологин из веб.
SyavaSyava
16.08.2015 18:30+11Года три ещё назад подключился в метро к кому-то, у кого смартфон был настроен как точка доступа, причём Wi-Fi был в открытом режиме, без пароля.
При попытке доступа к интернету перекинуло в личный кабинет владельца смартфона, т.к. у него был отрицательный баланс (неудивительно с таки отношением к безопасности-то). Соответственно был полный доступ к управлению и информации по счёту. Ничего не стал менять, отправил ему СМС с предложением установить пароль на Wi-Fi.
За три года не поменялось вообще ничего.
Да и глупо ожидать иного от этой шайки бандитов-монополистов (впрочем как и от двух других клонов-«конкурентов»). Мы для них просто источник бабла.
lukasafonov
16.08.2015 18:35+5Такая же проблема и у МТС — при входе с любого устройства, которому расшарили интернет или через роутер МТС.
ValdikSS
16.08.2015 21:55Можете еще с телефона зайти на yandex.ru через мобильный МТС, и о чудо, яндекс знает ваш номер телефона.
Скрытый текст
vsespb
16.08.2015 22:02+3Если виджет загружен с доменов МТС, то это пока что будет не уязвимость.
JetP1L0t
16.08.2015 22:28Это не чудо, а MSISDN в хидерах http://stackoverflow.com/questions/10278989/how-to-get-msisdn-number-in-wap-using-php например как самому узнать. ЕМНИП, ещё со времён WAP'a что-то такое тянется.
and7ey
16.08.2015 22:40+1Можно ли сформировать запрос к личному кабинету Мегафона, указав в хидере чужой номер телефона? Или там еще что-то помимо номера телефона для проверки передается?
JIghtuse
16.08.2015 19:46+9С недавних пор отдельные межгородские атобусы оснащают модемом Мегафона. Внутри автобуса висит бумажка с паролем. Подключился. Через пару часов вместо запрошенной страницы вылезает такая:
screenshot
kuber
16.08.2015 20:37+15>> Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона
А если зайти по этой ссылке через проводной Интернет, то внизу страницы можно прочитать следующую «радостную» информацию:
Уважаемые клиенты! В настоящее время возможны случаи некорректной работы Системы «Личный кабинет» (Сервис-Гид) с браузерами Internet Explorer 11-й версии и выше, а также Mozilla Firefox 25-й версии и выше. Для корректной работы системы рекомендуем Вам пользоваться более ранними версиями Internet Explorer и Mozilla Firefox, либо использовать другие браузеры.
la0
16.08.2015 22:46Да мегафно вообще странные товарищи (для протокола заметим, что другого цвета товарищи иногда еще более странные). То 100рублей в месяц за запрет контента, Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань». То непонятные проблемы с MNP, то невозможность поменять симку при наличии паспорта и старой симки.
По описанной проблеме у меня есть основания полагать, что её первопричина хотя бы единичное использование программулины, поставляемой с модемом.
Была у меня задача наоборот разрешить такое, на одной симке ок, на второй ни в какую до вставки в модем со стандартным мегафоновским виндовым софтом (после этого работало на всех устройствах).vsespb
16.08.2015 23:08Последние пять лет точно никуда симку не вставлял, кроме телефонов. Это основной мой номер. Что было раньше затрудняюсь утверждать, но вообще модемами мегафоновскими не пользуюсь.
Klaster
18.08.2015 17:34>>Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань»
Вы должны платить деньги, за возможность не платить деньги :) имхо все логично че не так то?
Egor3f
17.08.2015 01:36+5О Великий Рандом! Я думал, что это я верстаю как чудак…
Прекрасный фронтенд 1
amarao
17.08.2015 01:46+18Простите, они просят ПАРОЛЬ? В SMS? И это не мошенники? У меня рвутся все шаблоны. Просят пароль. Продиктовать и сообщить другому лицу. Не мошенники. Но просят сказать пароль. Но не мошенники.
Не может такого быть. Просто не может.vsespb
17.08.2015 01:53+1Не мошенники. Как я сказал в посте:
я составил новое обращение с просьбой разобраться без пароля
Второе обращение было через новый «Личный Кабинет», т.е. через веб. Я я там увидел тот же ответ:
скрин
amarao
17.08.2015 04:03+5Я бы с этим напрямую к отделу безопасности обращался.
Гугль подсказывает:
ru.linkedin.com/pub/%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D0%B0%D0%BD%D1%82%D0%B8%D0%BD-%D0%BA%D1%83%D1%82%D0%B0%D1%85%D0%BE%D0%B2/54/a69/b42
Константин Кутахов
Руководитель по оперативному управлению информационной безопасностью – ПАО «МегаФон» (HQ)
Location
Moscow, Russian Federation
Industry
Computer & Network Security
aim
17.08.2015 09:24-4так у всех операторов
vsespb
17.08.2015 11:27+2что именно так?
1. по дефолту фича включена
2. её нельзя отключить
3. у юзера есть иллюзия что она отключенаKorDen32
17.08.2015 17:031 практически у всех (мтс, мегафон, теле2), иной раз 2
Опс, похоже, при проверке, я нашел уязвимость в системе подтверждения теле2, или я чего не понял…KorDen32
17.08.2015 17:08UPD: похоже, подтверждения вообще нет, либо сессия сохраняется не в куках, а вообще на вход с этого абонентского номера в ЛК, т.е. подтверждения все равно что нет. И возможности отключить я не находил
Maccimo
17.08.2015 12:27+1Хаб «Я негодую» пал смертью храбрых, но дело его живёт.
vsespb
17.08.2015 12:40+1Ну вообще тут описание уязвимости. Ещё описан факт, что я обращался в ТП — вот это может тянуть на «Я негодую», учитывая их ответ. Однако, перед репортом уязвимости в паблик, принято дать возможность компании самой её пофиксить. Так что я описал что связывался с ними.
Sap_ru
17.08.2015 12:30+1Мать их за ногу!
БиЛайн — всё аналогично.
Если зайти на страничку с мобильного, виден телефон, остаток, информацию об слугах и выбор: войти с паролем и войти без пароля (!!!). По умолчанию — без пароля.
Зашибись, молодцы.Sap_ru
17.08.2015 12:32+1При этом галочка «автоматически входить в личный кабинет» в настройках безопасности снята.
Короче, это общая дыра.
Да ещё и паспортные данные светят и адрес домашний.vsespb
17.08.2015 12:42Ну у вас хоть галочка показывает что снята.
Sap_ru
17.08.2015 12:44+1И что? Кнопка-то «без пароля» есть и работает при этом. А в личном кабинете, да, в разделе безопасности и паролей висит целая оферта про вход без пароля и галочка при ней. Но галочка вообще всё отключает, т.е. заходишь на сайт БиЛайна и сразу попадаешь в личный кабинет, аж, минуя кнопку «войти без пароля»
Sap_ru
17.08.2015 12:38+1И это можно же написать такой хитрый сайт со скриптом, чтобы при заходе на наго форвардить информацию с сайта оператора. Даже никакого софта не нужно. Просто сайт.
Кажется, у меня есть бизнес план.vsespb
17.08.2015 12:42Это уже из раздела XSS. Сомневаюсь что это будет так просто.
Sap_ru
17.08.2015 12:52+1Почему? Нам не нужно получить доступ к существующей или другой сессии. Нам нужно создать новую сессию, или даже просто проксировать страницу на другой сервер. Это не совсем same-orign policy. Как минимум через Web Sockets такое сделать можно легко и непринуждённо.
vsespb
17.08.2015 13:02+1хм, пожалуй да.
ну может они защитились с помощью devcenter.heroku.com/articles/websocket-security#origin-header
счас не могу проверить. последние недели мобильный интернет в квартире работает, только если вытащить руку с телефоном в окно. буду обращаться в мегафон опять.
MegaFon
17.08.2015 13:12+3Спасибо, что обратили наше внимание. Работоспособность чек-бокса в Сервис-Гиде восстановлена. Теперь анализ настройки разрешения или запрещения автовхода работает корректно. Дополнительно разместили текст на странице с описанием функционала как в новом Личном Кабинете МегаФона.
vsespb
17.08.2015 13:29+1Единственное, сейчас в поле логина всё ещё появляется мой номер телефона. Получается много кто может его узнать (так же: сторонние приложения, сайты через websockets)?
tangro
17.08.2015 15:31+9Вот вроде в теории «Хабр — не книга жалоб», а по факту Хабр — это вообще единственная реально работающая книга жалоб, на которую компании типа Мегафона действительно реагируют.
vsespb
17.08.2015 15:36+1Это другое. Это описание уязвимости в паблике. Уязвимости в паблике принято публиковать, даже если бы их пофиксили habrahabr.ru/post/264849/#comment_8539001
tangro
17.08.2015 17:40+3А я же не говорю, что не стоило публиковать, я только за. Просто удивляюсь неорганизованности компаний, неспособных организовать приём грамотных багреквестов самим и вынуждающих писать стать в духе «я не смог до них докричаться, так что пишу тут».
Dm4k
17.08.2015 18:12+3Будучи корп клиентом мегафона большинство серьезных вопросов решалось по следующему алгоритму:
Пишем заявку на почту в начале недели -> ждем конца недели -> пишем жалобу в форме обращения директору на сайте Меги -> получаем ответ в течение еще пары дней.
Все остальные попытки ускорить решение вопроса через КЦ, почту, или другие каналы связи — не особо помогали. (соц сети не пробовали, но и не очень как-то о корп договоре в соц сетях писать ;))
Meklon