Comments 80
+38
Пароль для личного кабинета? Что?
+44
Мне тоже кажется странным просить пароли
+23
У меня слов нет (нематерных)! Много лет назад я с ними уже «бодался» по поводу требования их техподдержкой моего пароля от личного кабинета. До сих пор требуют. Пипец! (Извините!)
+31
Пипец! (Извините!)
Не, ну это ты конечно грубо зашел! Не надо так ругаться, у нас же тут профильное IT-сообщество, нехорошо так говорить! На Вашем месте следил бы за речью!!!
-10
UFO just landed and posted this here
Ты чтооооо, чекааай, на хабре теперь за мат банят!
-15
UFO just landed and posted this here
Меня, чтобы далеко не ходить, за «пи*дец» несколько месяцев назад банали (в комментариях в профильном хабе). Не знаю, что там мат, а что — нет, но инцидент имеет место быть!
-4
Вопрос просто в уместности крепких выражений в каждом отдельном посте.
Иногда они уместны и придают яркую экспрессивную окраску сообщению или могут использоваться в качестве сочного юморка, но чаще выглядят как птушное хорохорство.
Обычно большинство людей не против использования мата в уместных ситуациях.
Ваше «тыачоо» и «чекаай» выглядят нелепо, словно во дворе дети ругаются, это другим и не нравится.
Иногда они уместны и придают яркую экспрессивную окраску сообщению или могут использоваться в качестве сочного юморка, но чаще выглядят как птушное хорохорство.
Обычно большинство людей не против использования мата в уместных ситуациях.
Ваше «тыачоо» и «чекаай» выглядят нелепо, словно во дворе дети ругаются, это другим и не нравится.
+4
Могу предположить, что на первой линии поддержки сидят люди с улицы, которым доступ ко всем личным кабинетам не доверяют. Поэтому они просят пароль в каждом конкретном случае. Чтобы зайти в ЛК, увидеть, что автовход отключен и отписать «Извините, проблема не подтвердилась». Ведь проверить наличие или отсутствие автовхода с вашей симки они все равно не смогут.
+3
Это ещё хуже, чем если бы у них был доступ ко всем личным кабинетам (с логгированием и контролем). Получается они безконтрольно могут собирать пароли юзеров.
Я уж не говорю про то что про сообщения о уязвимостях компания должна как-то адекватно реагировать, вне зависимости от того как они организовали техподдержку.
Я уж не говорю про то что про сообщения о уязвимостях компания должна как-то адекватно реагировать, вне зависимости от того как они организовали техподдержку.
+3
При получении пароля к личному кабинету по SMS во входящем сообщении говорится: "… НЕ СООБЩАЙТЕ ЭТОТ ПАРОЛЬ НИКОМУ, в т.ч. сотрудникам МегаФона!". (стилистика текста как во входящем SMS) Сл-но, они не могут просить этот пароль, ибо это будет противоречить их же указаниям.
+8
Увы, не говорится этого в смс ) Они присылают короткое сообщение: 'Пароль *** будет установлен через несколько минут'. И все. Им слишком дорого писать тебе длинные смс с предупреждениями о том, что нельзя сообщать пароли кому-либо )) разорятся бедняги!
0
Я это из реального SMS скопировал. :) Видимо в разных регионах разные SMS шлют.
+3
Им слишком дорого писать тебе длинные смс
А с другой стороны, мне иной раз так и хочется видеть в том же сбербанке галку типа «Pro user», которая уберет из SMS все эти грозные напоминания — при плохой связи часто приходит все что не нужно, но не последняя часть с паролем. Я не против получать доп. информацию об операции, скажем номер счета и т.д. (например, в яндекс.деньгах приходит только пароль и поставщик), но там столько лишних слов, создающих кучу частей…
+3
А попробуйте пожаловаться на вымогательство паролей сотрудниками мегафона.
+3
Куда?)
+5
черт, действительно, не обратно в мегафон же)
+7
В службу безопасности мегафона?
0
И там попросят пароль от личного кабинета.
+19
>от личного кабинета.
… вашего интернет-банка.
… вашего интернет-банка.
+1
Кстати об интернет банках. Если у оператора появится услуга типа «переадресация SMS», подключаемая через Веб,
то в таком случае плакали все защиты интернет банков смс авторизацией.
В сценарии когда компьютер скомпрометирован, получается что он и пароли к интернет банку перехватит, и форвардинг смс включит.
Будет что-нибудь типа этого www.banki.ru/services/responses/bank/response/4867553
то в таком случае плакали все защиты интернет банков смс авторизацией.
В сценарии когда компьютер скомпрометирован, получается что он и пароли к интернет банку перехватит, и форвардинг смс включит.
Будет что-нибудь типа этого www.banki.ru/services/responses/bank/response/4867553
+5
У МегаФона в plus.messages.megafon.ru/onebox/mix2.do SMS от Сбербанка и Яндекс.Денег не отображаются. Другие банки не проверял.
+1
UFO just landed and posted this here
Такая же проблема и у МТС — при входе с любого устройства, которому расшарили интернет или через роутер МТС.
+5
Можете еще с телефона зайти на yandex.ru через мобильный МТС, и о чудо, яндекс знает ваш номер телефона.
Скрытый текст
0
Если виджет загружен с доменов МТС, то это пока что будет не уязвимость.
+3
А если парсить страницу JS'ом и отправлять на сервер яндекса AJAX'ом?
0
не будет доступа к нему JS'ом, если всё правильно сделано.
+2
Это не чудо, а MSISDN в хидерах http://stackoverflow.com/questions/10278989/how-to-get-msisdn-number-in-wap-using-php например как самому узнать. ЕМНИП, ещё со времён WAP'a что-то такое тянется.
0
Сейчас автора забанят…
+3
С недавних пор отдельные межгородские атобусы оснащают модемом Мегафона. Внутри автобуса висит бумажка с паролем. Подключился. Через пару часов вместо запрошенной страницы вылезает такая:
Предлагается сменить тариф или подключить какой-то пакет на определённую сумму — на моё усмотрение. Не сказать, что совсем уж свобода действий, но всё-таки полагаю я не должен был видеть эту страницу…
screenshot
Предлагается сменить тариф или подключить какой-то пакет на определённую сумму — на моё усмотрение. Не сказать, что совсем уж свобода действий, но всё-таки полагаю я не должен был видеть эту страницу…
+9
>> Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона
А если зайти по этой ссылке через проводной Интернет, то внизу страницы можно прочитать следующую «радостную» информацию:
Уважаемые клиенты! В настоящее время возможны случаи некорректной работы Системы «Личный кабинет» (Сервис-Гид) с браузерами Internet Explorer 11-й версии и выше, а также Mozilla Firefox 25-й версии и выше. Для корректной работы системы рекомендуем Вам пользоваться более ранними версиями Internet Explorer и Mozilla Firefox, либо использовать другие браузеры.
А если зайти по этой ссылке через проводной Интернет, то внизу страницы можно прочитать следующую «радостную» информацию:
Уважаемые клиенты! В настоящее время возможны случаи некорректной работы Системы «Личный кабинет» (Сервис-Гид) с браузерами Internet Explorer 11-й версии и выше, а также Mozilla Firefox 25-й версии и выше. Для корректной работы системы рекомендуем Вам пользоваться более ранними версиями Internet Explorer и Mozilla Firefox, либо использовать другие браузеры.
+15
Да мегафно вообще странные товарищи (для протокола заметим, что другого цвета товарищи иногда еще более странные). То 100рублей в месяц за запрет контента, Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань». То непонятные проблемы с MNP, то невозможность поменять симку при наличии паспорта и старой симки.
По описанной проблеме у меня есть основания полагать, что её первопричина хотя бы единичное использование программулины, поставляемой с модемом.
Была у меня задача наоборот разрешить такое, на одной симке ок, на второй ни в какую до вставки в модем со стандартным мегафоновским виндовым софтом (после этого работало на всех устройствах).
По описанной проблеме у меня есть основания полагать, что её первопричина хотя бы единичное использование программулины, поставляемой с модемом.
Была у меня задача наоборот разрешить такое, на одной симке ок, на второй ни в какую до вставки в модем со стандартным мегафоновским виндовым софтом (после этого работало на всех устройствах).
0
Последние пять лет точно никуда симку не вставлял, кроме телефонов. Это основной мой номер. Что было раньше затрудняюсь утверждать, но вообще модемами мегафоновскими не пользуюсь.
0
>>Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань»
Вы должны платить деньги, за возможность не платить деньги :) имхо все логично че не так то?
Вы должны платить деньги, за возможность не платить деньги :) имхо все логично че не так то?
0
UFO just landed and posted this here
Простите, они просят ПАРОЛЬ? В SMS? И это не мошенники? У меня рвутся все шаблоны. Просят пароль. Продиктовать и сообщить другому лицу. Не мошенники. Но просят сказать пароль. Но не мошенники.
Не может такого быть. Просто не может.
Не может такого быть. Просто не может.
+18
Не мошенники. Как я сказал в посте:
Второе обращение было через новый «Личный Кабинет», т.е. через веб. Я я там увидел тот же ответ:
я составил новое обращение с просьбой разобраться без пароля
Второе обращение было через новый «Личный Кабинет», т.е. через веб. Я я там увидел тот же ответ:
скрин
+1
Я бы с этим напрямую к отделу безопасности обращался.
Гугль подсказывает:
ru.linkedin.com/pub/%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D0%B0%D0%BD%D1%82%D0%B8%D0%BD-%D0%BA%D1%83%D1%82%D0%B0%D1%85%D0%BE%D0%B2/54/a69/b42
Константин Кутахов
Руководитель по оперативному управлению информационной безопасностью – ПАО «МегаФон» (HQ)
Location
Moscow, Russian Federation
Industry
Computer & Network Security
Гугль подсказывает:
ru.linkedin.com/pub/%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D0%B0%D0%BD%D1%82%D0%B8%D0%BD-%D0%BA%D1%83%D1%82%D0%B0%D1%85%D0%BE%D0%B2/54/a69/b42
Константин Кутахов
Руководитель по оперативному управлению информационной безопасностью – ПАО «МегаФон» (HQ)
Location
Moscow, Russian Federation
Industry
Computer & Network Security
+5
— Шеф, у нас дыра в безопасности!
— Хоть что-то у нас в безопасности…
— Хоть что-то у нас в безопасности…
+27
так у всех операторов
-4
что именно так?
1. по дефолту фича включена
2. её нельзя отключить
3. у юзера есть иллюзия что она отключена
1. по дефолту фича включена
2. её нельзя отключить
3. у юзера есть иллюзия что она отключена
+2
1 практически у всех (мтс, мегафон, теле2), иной раз 2
Опс, похоже, при проверке, я нашел уязвимость в системе подтверждения теле2, или я чего не понял…
Опс, похоже, при проверке, я нашел уязвимость в системе подтверждения теле2, или я чего не понял…
0
Хаб «Я негодую» пал смертью храбрых, но дело его живёт.
+1
Мать их за ногу!
БиЛайн — всё аналогично.
Если зайти на страничку с мобильного, виден телефон, остаток, информацию об слугах и выбор: войти с паролем и войти без пароля (!!!). По умолчанию — без пароля.
Зашибись, молодцы.
БиЛайн — всё аналогично.
Если зайти на страничку с мобильного, виден телефон, остаток, информацию об слугах и выбор: войти с паролем и войти без пароля (!!!). По умолчанию — без пароля.
Зашибись, молодцы.
+1
При этом галочка «автоматически входить в личный кабинет» в настройках безопасности снята.
Короче, это общая дыра.
Да ещё и паспортные данные светят и адрес домашний.
Короче, это общая дыра.
Да ещё и паспортные данные светят и адрес домашний.
+1
Ну у вас хоть галочка показывает что снята.
0
И что? Кнопка-то «без пароля» есть и работает при этом. А в личном кабинете, да, в разделе безопасности и паролей висит целая оферта про вход без пароля и галочка при ней. Но галочка вообще всё отключает, т.е. заходишь на сайт БиЛайна и сразу попадаешь в личный кабинет, аж, минуя кнопку «войти без пароля»
+1
И это можно же написать такой хитрый сайт со скриптом, чтобы при заходе на наго форвардить информацию с сайта оператора. Даже никакого софта не нужно. Просто сайт.
Кажется, у меня есть бизнес план.
Кажется, у меня есть бизнес план.
+1
Это уже из раздела XSS. Сомневаюсь что это будет так просто.
0
Почему? Нам не нужно получить доступ к существующей или другой сессии. Нам нужно создать новую сессию, или даже просто проксировать страницу на другой сервер. Это не совсем same-orign policy. Как минимум через Web Sockets такое сделать можно легко и непринуждённо.
+1
хм, пожалуй да.
ну может они защитились с помощью devcenter.heroku.com/articles/websocket-security#origin-header
счас не могу проверить. последние недели мобильный интернет в квартире работает, только если вытащить руку с телефоном в окно. буду обращаться в мегафон опять.
ну может они защитились с помощью devcenter.heroku.com/articles/websocket-security#origin-header
счас не могу проверить. последние недели мобильный интернет в квартире работает, только если вытащить руку с телефоном в окно. буду обращаться в мегафон опять.
+1
Спасибо, что обратили наше внимание. Работоспособность чек-бокса в Сервис-Гиде восстановлена. Теперь анализ настройки разрешения или запрещения автовхода работает корректно. Дополнительно разместили текст на странице с описанием функционала как в новом Личном Кабинете МегаФона.
+3
Вот вроде в теории «Хабр — не книга жалоб», а по факту Хабр — это вообще единственная реально работающая книга жалоб, на которую компании типа Мегафона действительно реагируют.
+9
Это другое. Это описание уязвимости в паблике. Уязвимости в паблике принято публиковать, даже если бы их пофиксили habrahabr.ru/post/264849/#comment_8539001
+1
А я же не говорю, что не стоило публиковать, я только за. Просто удивляюсь неорганизованности компаний, неспособных организовать приём грамотных багреквестов самим и вынуждающих писать стать в духе «я не смог до них докричаться, так что пишу тут».
+3
Будучи корп клиентом мегафона большинство серьезных вопросов решалось по следующему алгоритму:
Пишем заявку на почту в начале недели -> ждем конца недели -> пишем жалобу в форме обращения директору на сайте Меги -> получаем ответ в течение еще пары дней.
Все остальные попытки ускорить решение вопроса через КЦ, почту, или другие каналы связи — не особо помогали. (соц сети не пробовали, но и не очень как-то о корп договоре в соц сетях писать ;))
Пишем заявку на почту в начале недели -> ждем конца недели -> пишем жалобу в форме обращения директору на сайте Меги -> получаем ответ в течение еще пары дней.
Все остальные попытки ускорить решение вопроса через КЦ, почту, или другие каналы связи — не особо помогали. (соц сети не пробовали, но и не очень как-то о корп договоре в соц сетях писать ;))
+3
Sign up to leave a comment.
Мегафон — кто угодно может управлять вашим счётом