Рубрика развивается при поддержке HP logo Advertisement

Хакер получил доступ к служебным данным и сайтам «МегаФона», исследуя уязвимость в абонентском виджете для «Яндекса» Статьи редакции

Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.

По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.

Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.

Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».

В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.

Например, ему удалось попасть в систему администрирования домена megafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs, в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.

В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.

Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать виджет для главной страницы.

Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.

пресс-служба «Яндекса»

Как пояснил w0rm, он использовал всё ещё работающий метод авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик. Хакер заявил, что публично обращался к представителям оператора, но там не отреагировали.

Представители оператора заявили TJ, что не зафиксировали случаев несанкционированного доступа.

Мы регулярно фиксируем попытки получения несанкционированного доступа к инфраструктуре компании. Фактов удачного проникновения не зафиксировано. В настоящее время все внутренние системы защищены от подобных атак, и угрозы сохранности внутренних данных нет.

Сейчас мы проводим дополнительную проверку по фактам сообщений в соцсетях.

пресс-служба «МегаФона»

В мае 2015 года w0rm опубликовал в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.

В июле 2014 года w0rm взломал сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.

В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441","\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u043e\u0431\u0438\u043b\u044c\u043d\u0430\u044f_\u0441\u0432\u044f\u0437\u044c","\u043c\u0435\u0433\u0430\u0444\u043e\u043d","\u0432\u0437\u043b\u043e\u043c\u044b","w0rm"], "comments": 30, "likes": 24, "favorites": 4, "is_advertisement": false, "subsite_label": "tech", "id": 56055, "is_wide": true, "is_ugc": true, "date": "Mon, 31 Aug 2015 17:40:21 +0300", "is_special": false }
Advertisement
0
30 комментариев
Популярные
По порядку
Написать комментарий...

Головной меч

9

гр

Ответить

Воздушный чувак

Андрей
32

Для опоздавших

Ответить

Душевный велосипед

Воздушный
0

паходу это не баг, это фича)

Ответить

Огненный

Андрей
2

Бгг

Ответить

Ненужный единорожек88

Андрей
17
Ответить

Художественный пришелец

Никита
2

Ждем статью от Елистратова с заголовком "хдр".

Ответить

Заслуженный

Покемон
7
Ответить

Деревенский волк

Андрей
12

Не знаю, к чему бы это.

Ответить

Комментарий удален

Комментарий удален

Деревенский волк

Андрей
0

Да ладно, вы просто хотите собрать в два раза больше плюсов одной и той же картинкой. Яснопонятно всё с вами.

Ответить

Похожий каякер

5

зато теперь в клубе можно не писать "плохой заголовок", "жёлтый заголовок", "слишком длинный заголовок".
Просто гр

Ответить

Литературный паук например

4
Ответить

Лесной корабль

3

Спорим, что вместо премии "За находку", ему попытаются срок пришить?
P.S. Если он конечно об уязвимостях вовремя в Мегафон сообщил.

Ответить

Секретный мангал

4
Ответить

Деревенский волк

3

Если он конечно об уязвимостях вовремя в Мегафон сообщил.

Да даже если сообщил, всё равно попытку пришить срок нельзя исключать.

Ответить

Положенный утюг

0

Он же не гугл, чтобы премии выдавать.

Ответить

Кожаный динозавр

Андрей
1

Если объективно - скорее всего ниточка, которую нащупал хакер - упирается в хренового руководителя отдела или в урезанный бюджет. Так что, если там ничего не изменят, награждать не за что.

Ответить

Клинический паук например

Андрей
0

премии только гугл нынче выдает?

Ответить

Универсальный

Василий
1

vk еще вроде. И yandex.

Ответить

Надежный Мурод

2

его действия имеют социальную миссию

он запросил один биткоин.

Угу

Ответить

Прохладный самолет

1

Комментарий удален по просьбе пользователя

Ответить

Деревенский волк

DELETED
9

Написал "гр" - собрал плюсов в комментах.

Ответить

Густой рак

1

а от спрашивай.ру пароли так и не слили

Ответить

Ненужный единорожек88

Alexander
0

Ну, они были у меня на руках.

Ответить

Голодный Илья

Никита
1

Кто знает. Может, вам w0rm помог их «найти».

Ответить

Аналогичный историк

Никита
0

Нерабочие

Ответить

Громкий Даниль

0

Никогда не встречал казахских хакеров.

Ответить

Белорусский Данила

Артём
0

а как же легендарный WebKill?

Ответить

Партийный украинец

0

😱

Ответить

Литературный паук например

0

Представители Мегафона так прокомментировали ситуацию:
- Пшшш.. Мы полностью ... пш ... а вы не .. .. ... Это наше официальное заявление.

Ответить

Деревенский волк

Литературный
4

«Это всё, что я могу сказать о войне во Вьетнаме» ©

Ответить

Лишний блик

0

Комментарий удален по просьбе пользователя

Ответить
Обсуждаемое
Новости
Число жертв в секторе Газа возросло до 69. В Израиле начались массовые беспорядки
За ночь во время протестов арестовали более 370 человек, 36 полицейских ранены.
Интернет
4PDA попал под блокировку в России по требованию владельца «Матч ТВ»
На площадке нашли передачи канала «Футбол 1», 4PDA уже переехал на другой домен.
Технологии
«Мой путь к успеху — не строить планов и позволить людям работать за тебя»: главное из интервью с создателем Linux
Как Линус Торвальдс 30 лет назад создал систему, ставшую основой современного интернета.
Популярное за три дня
Новости
После стрельбы в Казани мурманским школам поручили создать список «склонных к нарушению дисциплины» учеников
Среди причин включения в список — участие в протестах за Навального, «свободолюбие», «непризнание авторитета», использование мата.
Наука
Лингвисты обнаружили, что некоторые звуковые сочетания универсальны для носителей разных языков
Исследование показывает, что первые человеческие слова могли сформироваться не случайным образом.
Разборы
Казнить нельзя(,) помиловать. Четыре аргумента против смертной казни в России
Массовое убийство детей в казанской школе вновь спровоцировало обсуждение смертной казни в России
null