Pull to refresh

Comments 80

Мне тоже кажется странным просить пароли
У меня слов нет (нематерных)! Много лет назад я с ними уже «бодался» по поводу требования их техподдержкой моего пароля от личного кабинета. До сих пор требуют. Пипец! (Извините!)
Пипец! (Извините!)

Не, ну это ты конечно грубо зашел! Не надо так ругаться, у нас же тут профильное IT-сообщество, нехорошо так говорить! На Вашем месте следил бы за речью!!!
UFO just landed and posted this here
Ты чтооооо, чекааай, на хабре теперь за мат банят!
UFO just landed and posted this here
Меня, чтобы далеко не ходить, за «пи*дец» несколько месяцев назад банали (в комментариях в профильном хабе). Не знаю, что там мат, а что — нет, но инцидент имеет место быть!
Вопрос просто в уместности крепких выражений в каждом отдельном посте.
Иногда они уместны и придают яркую экспрессивную окраску сообщению или могут использоваться в качестве сочного юморка, но чаще выглядят как птушное хорохорство.

Обычно большинство людей не против использования мата в уместных ситуациях.

Ваше «тыачоо» и «чекаай» выглядят нелепо, словно во дворе дети ругаются, это другим и не нравится.
Могу предположить, что на первой линии поддержки сидят люди с улицы, которым доступ ко всем личным кабинетам не доверяют. Поэтому они просят пароль в каждом конкретном случае. Чтобы зайти в ЛК, увидеть, что автовход отключен и отписать «Извините, проблема не подтвердилась». Ведь проверить наличие или отсутствие автовхода с вашей симки они все равно не смогут.
Это ещё хуже, чем если бы у них был доступ ко всем личным кабинетам (с логгированием и контролем). Получается они безконтрольно могут собирать пароли юзеров.
Я уж не говорю про то что про сообщения о уязвимостях компания должна как-то адекватно реагировать, вне зависимости от того как они организовали техподдержку.
При получении пароля к личному кабинету по SMS во входящем сообщении говорится: "… НЕ СООБЩАЙТЕ ЭТОТ ПАРОЛЬ НИКОМУ, в т.ч. сотрудникам МегаФона!". (стилистика текста как во входящем SMS) Сл-но, они не могут просить этот пароль, ибо это будет противоречить их же указаниям.
Увы, не говорится этого в смс ) Они присылают короткое сообщение: 'Пароль *** будет установлен через несколько минут'. И все. Им слишком дорого писать тебе длинные смс с предупреждениями о том, что нельзя сообщать пароли кому-либо )) разорятся бедняги!
Я это из реального SMS скопировал. :) Видимо в разных регионах разные SMS шлют.
Им слишком дорого писать тебе длинные смс

А с другой стороны, мне иной раз так и хочется видеть в том же сбербанке галку типа «Pro user», которая уберет из SMS все эти грозные напоминания — при плохой связи часто приходит все что не нужно, но не последняя часть с паролем. Я не против получать доп. информацию об операции, скажем номер счета и т.д. (например, в яндекс.деньгах приходит только пароль и поставщик), но там столько лишних слов, создающих кучу частей…
А попробуйте пожаловаться на вымогательство паролей сотрудниками мегафона.
черт, действительно, не обратно в мегафон же)
В службу безопасности мегафона?
И там попросят пароль от личного кабинета.
>от личного кабинета.
… вашего интернет-банка.
Кстати об интернет банках. Если у оператора появится услуга типа «переадресация SMS», подключаемая через Веб,
то в таком случае плакали все защиты интернет банков смс авторизацией.
В сценарии когда компьютер скомпрометирован, получается что он и пароли к интернет банку перехватит, и форвардинг смс включит.
Будет что-нибудь типа этого www.banki.ru/services/responses/bank/response/4867553
хмм… я думал что лучшая защита от этой услуги — не подключать её.
но тут выясняет что войти в неё с паролем от сервисгида — это и значит автоматически её подключить.
ну, в прочем, пока нет оснований полагать что там (был/есть) автологин из веб.
UFO just landed and posted this here
Такая же проблема и у МТС — при входе с любого устройства, которому расшарили интернет или через роутер МТС.
Можете еще с телефона зайти на yandex.ru через мобильный МТС, и о чудо, яндекс знает ваш номер телефона.
Скрытый текст
image
Если виджет загружен с доменов МТС, то это пока что будет не уязвимость.
А если парсить страницу JS'ом и отправлять на сервер яндекса AJAX'ом?
не будет доступа к нему JS'ом, если всё правильно сделано.
Это если будет использован iframe, насколько я понимаю. Но ведь неизвестно что используется у яндекса. Может быть AJAX.
поэтому я написал «если всё правильно сделано». можно найти 100 способов создать уязвимость на ровно месте.
Если не секрет. Я задал вопрос. Довольно конкретный. Мне действительно интересна эта проблема. Почему меня заминусили?
Я вам минусы не ставил. В данный момент в этом посте у вас один минус — это ни о чём не говорит вообще.
Это не чудо, а MSISDN в хидерах http://stackoverflow.com/questions/10278989/how-to-get-msisdn-number-in-wap-using-php например как самому узнать. ЕМНИП, ещё со времён WAP'a что-то такое тянется.
Можно ли сформировать запрос к личному кабинету Мегафона, указав в хидере чужой номер телефона? Или там еще что-то помимо номера телефона для проверки передается?
Если не ошибаюсь, точка доступа сама проставляет MSISDN, это делает не телефон. Причём это может происходить только для определённых диапазонов ip, о чём написано в ссылке JetP1L0t. Скорее всего, указанный вами MSISDN будет проигнорирован.
У Мегафона руки длиннее, чем у Билайна?
С недавних пор отдельные межгородские атобусы оснащают модемом Мегафона. Внутри автобуса висит бумажка с паролем. Подключился. Через пару часов вместо запрошенной страницы вылезает такая:
screenshot
image

Предлагается сменить тариф или подключить какой-то пакет на определённую сумму — на моё усмотрение. Не сказать, что совсем уж свобода действий, но всё-таки полагаю я не должен был видеть эту страницу…
А что за обозначение «R» у сети? Заранее спасибо за ответ.
телефон в роуминге
>> Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона

А если зайти по этой ссылке через проводной Интернет, то внизу страницы можно прочитать следующую «радостную» информацию:

Уважаемые клиенты! В настоящее время возможны случаи некорректной работы Системы «Личный кабинет» (Сервис-Гид) с браузерами Internet Explorer 11-й версии и выше, а также Mozilla Firefox 25-й версии и выше. Для корректной работы системы рекомендуем Вам пользоваться более ранними версиями Internet Explorer и Mozilla Firefox, либо использовать другие браузеры.
Да мегафно вообще странные товарищи (для протокола заметим, что другого цвета товарищи иногда еще более странные). То 100рублей в месяц за запрет контента, Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань». То непонятные проблемы с MNP, то невозможность поменять симку при наличии паспорта и старой симки.

По описанной проблеме у меня есть основания полагать, что её первопричина хотя бы единичное использование программулины, поставляемой с модемом.
Была у меня задача наоборот разрешить такое, на одной симке ок, на второй ни в какую до вставки в модем со стандартным мегафоновским виндовым софтом (после этого работало на всех устройствах).
Последние пять лет точно никуда симку не вставлял, кроме телефонов. Это основной мой номер. Что было раньше затрудняюсь утверждать, но вообще модемами мегафоновскими не пользуюсь.
>>Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань»
Вы должны платить деньги, за возможность не платить деньги :) имхо все логично че не так то?
UFO just landed and posted this here
Вы еще письма с отчетами не видели. Оно у них сверстано для распечатки, причем код раздут раз в 6.
Простите, они просят ПАРОЛЬ? В SMS? И это не мошенники? У меня рвутся все шаблоны. Просят пароль. Продиктовать и сообщить другому лицу. Не мошенники. Но просят сказать пароль. Но не мошенники.

Не может такого быть. Просто не может.
Не мошенники. Как я сказал в посте:
я составил новое обращение с просьбой разобраться без пароля

Второе обращение было через новый «Личный Кабинет», т.е. через веб. Я я там увидел тот же ответ:
скрин


Я бы с этим напрямую к отделу безопасности обращался.

Гугль подсказывает:

ru.linkedin.com/pub/%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D0%B0%D0%BD%D1%82%D0%B8%D0%BD-%D0%BA%D1%83%D1%82%D0%B0%D1%85%D0%BE%D0%B2/54/a69/b42

Константин Кутахов

Руководитель по оперативному управлению информационной безопасностью – ПАО «МегаФон» (HQ)

Location
Moscow, Russian Federation
Industry
Computer & Network Security
— Шеф, у нас дыра в безопасности!
— Хоть что-то у нас в безопасности…
что именно так?
1. по дефолту фича включена
2. её нельзя отключить
3. у юзера есть иллюзия что она отключена
1 практически у всех (мтс, мегафон, теле2), иной раз 2

Опс, похоже, при проверке, я нашел уязвимость в системе подтверждения теле2, или я чего не понял…
UPD: похоже, подтверждения вообще нет, либо сессия сохраняется не в куках, а вообще на вход с этого абонентского номера в ЛК, т.е. подтверждения все равно что нет. И возможности отключить я не находил
Хаб «Я негодую» пал смертью храбрых, но дело его живёт.
Ну вообще тут описание уязвимости. Ещё описан факт, что я обращался в ТП — вот это может тянуть на «Я негодую», учитывая их ответ. Однако, перед репортом уязвимости в паблик, принято дать возможность компании самой её пофиксить. Так что я описал что связывался с ними.
Мать их за ногу!
БиЛайн — всё аналогично.
Если зайти на страничку с мобильного, виден телефон, остаток, информацию об слугах и выбор: войти с паролем и войти без пароля (!!!). По умолчанию — без пароля.
Зашибись, молодцы.
При этом галочка «автоматически входить в личный кабинет» в настройках безопасности снята.
Короче, это общая дыра.
Да ещё и паспортные данные светят и адрес домашний.
Ну у вас хоть галочка показывает что снята.
И что? Кнопка-то «без пароля» есть и работает при этом. А в личном кабинете, да, в разделе безопасности и паролей висит целая оферта про вход без пароля и галочка при ней. Но галочка вообще всё отключает, т.е. заходишь на сайт БиЛайна и сразу попадаешь в личный кабинет, аж, минуя кнопку «войти без пароля»
интересненько. да, признаю, у вас хуже.
И это можно же написать такой хитрый сайт со скриптом, чтобы при заходе на наго форвардить информацию с сайта оператора. Даже никакого софта не нужно. Просто сайт.
Кажется, у меня есть бизнес план.
Это уже из раздела XSS. Сомневаюсь что это будет так просто.
Почему? Нам не нужно получить доступ к существующей или другой сессии. Нам нужно создать новую сессию, или даже просто проксировать страницу на другой сервер. Это не совсем same-orign policy. Как минимум через Web Sockets такое сделать можно легко и непринуждённо.
хм, пожалуй да.
ну может они защитились с помощью devcenter.heroku.com/articles/websocket-security#origin-header

счас не могу проверить. последние недели мобильный интернет в квартире работает, только если вытащить руку с телефоном в окно. буду обращаться в мегафон опять.
Спасибо, что обратили наше внимание. Работоспособность чек-бокса в Сервис-Гиде восстановлена. Теперь анализ настройки разрешения или запрещения автовхода работает корректно. Дополнительно разместили текст на странице с описанием функционала как в новом Личном Кабинете МегаФона.
Спасибо! Обновил пост.
Единственное, сейчас в поле логина всё ещё появляется мой номер телефона. Получается много кто может его узнать (так же: сторонние приложения, сайты через websockets)?
А запрос сотрудниками поддержки пароля от ЛК — как-то прокомментируете?
Вот вроде в теории «Хабр — не книга жалоб», а по факту Хабр — это вообще единственная реально работающая книга жалоб, на которую компании типа Мегафона действительно реагируют.
Это другое. Это описание уязвимости в паблике. Уязвимости в паблике принято публиковать, даже если бы их пофиксили habrahabr.ru/post/264849/#comment_8539001
А я же не говорю, что не стоило публиковать, я только за. Просто удивляюсь неорганизованности компаний, неспособных организовать приём грамотных багреквестов самим и вынуждающих писать стать в духе «я не смог до них докричаться, так что пишу тут».
Будучи корп клиентом мегафона большинство серьезных вопросов решалось по следующему алгоритму:
Пишем заявку на почту в начале недели -> ждем конца недели -> пишем жалобу в форме обращения директору на сайте Меги -> получаем ответ в течение еще пары дней.
Все остальные попытки ускорить решение вопроса через КЦ, почту, или другие каналы связи — не особо помогали. (соц сети не пробовали, но и не очень как-то о корп договоре в соц сетях писать ;))
Sign up to leave a comment.

Articles