Comments 32
Нужен вход в гугл
Исследование и статья интересные, но что страшного произойдёт, если вы узнаете, что у какого-то Henry, которого вы знаете только по гугол аккаунту, номер телефона +31658854003?
Как минимум множество женщин этого не хочет. Сервис "пробью номер телефона по гуглпочте за 500 рублей" будет пользоваться популярностью. Не RCE конечно, но 5к долларов вполне стоит.
Само по себе это может быть и не страшно. Страшно то, что на одном сервисе по аккаунту узнается номер. На другом сервисе по номеру узнается ещё что-то. И т.д. и т.п. В результате из вроде бы отдельных некритичных данных можно собрать комплект данных, который уже будет критичен. Поэтому внимание нужно уделять вот таким вот подобным вроде бы мелочам для постоянной минимизации потенциального ущерба.
Месяца два назад на хабре была статья где человек сделал подобное исследование и был в шоке насколько всего везде можно понабрать.
ссылочку на статью не дадите?
В избранном у меня её нет, а найти на хабре, что было 3 месяца назад очень сложно - сходу не получилось(
ещё лет 10 назад какой-то американский it-журналист лишился Apple-аккаунта со всем, что там было. Просто во время работы у него залочились ноутбук и телефон и начали форматироваться. Часть данных удалось через неделю вернуть с ябло-диска (потому что он был журналист большого журнала, и Яблоку пришлось его случай заметить и хоть что-то сделать).
подробностей уже не помню, но вроде соц-инженер позвонил в поддержку Apple, Amazon и снова Apple, везде сыграл истерику "ничего не работает! почему вы не помогаете вашим покупателям?!!". Из Амазона, ЕМНИП, вытащил список покупок за последнюю неделю, предъявил его Эпплу как "смотрите, я знаю все мои последние платежи в Apple Pаy, что вам гадам еще надо?" и получил свеженький пароль, с которым вырубил из облака журналистa и включил "очистку украденной техники от личных данных"
Учитывая принципиальную возможность перехвата смс на известный номер (покупкой доступа к сети операторов), раскрытие номера телефона может привести к угону аккаунта.
покупкой доступа к сети операторов
почем такое удовльствие?
Если вы не из спецслужб, то от нескольких тысяч до пары десятков тысяч долларов
Я собственно к тому что это уже не "набрутитить номерок" а несколько более серьезная история
Где про эксперимент почитать? Ну вот есть у меня пара тысяч долларов, куда их нести?
Вам придется нырнуть в клоаку даркнета и вылавливать реальные предложения на фоне скамеров, которые хотят вас надуть. Альтернативно, можете поискать работников операторов связи, обладающих необходимым уровнем доступа к системам, недовольных компании и/или жадных до денег, готовых продать вам доступ и уволиться
Я не сделать, а почитать. Кто-то же делал такое?
https://habr.com/ru/articles/403649/
https://habr.com/ru/companies/pt/articles/237981/
P.s. есть хорошее видео у Веритасис на эту тему
Если есть уязвимости SS7 в EBS-EPC, можно обойтись и без покупки доступа.
Если из 2FA не делать 1FA, как это сделали в РФ, то даже перехват кода из смс ничего не даст злоумышннику.
Остаётся понять, зачем вообще нужна смс как канал передачи чувствительной информации
Я всегда говорил, что не нужна. Особенна вредна та дичь, которую сделали в РФ, тут это по сути 1FA, по коду из смс можно получить доступ куда угодно, несмотря на пароли и остальные факторы.
Но даже тут на хабре каждый раз, когда об этом заходила речь, мне писали, что я мудак, это очень удобно, а на безопасность наплевать, потому что кому я нафиг нужен. Я за TOTP и Fido2 U2F аппаратные ключи, везде, где можно использую их. Например, в том же гуглоаккаунте.
Но ни один российский банк не даёт такой возможности, насколько я знаю. Я писал в поддержку нескольких банков и просил хотя бы заблокировать возможность сброса пароля по коду из смс, уверял их, что если я его забуду, это будут мои проблемы, я приду в отделение с паспортом - меня везде послали. Потому что это выгодно банку, а люди восстанавливающие пароль в отделении не выгодны, они отнимают время сотрудников.
Сколько современных сервисов, включая государственные, не требуют для регистрации номер телефона, явно или неявно?
Это же сколько дыр ещё в сервисах существует, о которых известно некоторому количеству людей, которые будем надеяться тоже отправят их на bug&bounty 👀
После таких игрищь к вам подедут люди в черном из фбр...
Вывод: ни в каких формах не нужно давать знать, есть пользователь, или нет.
Просто писать: если Ваши данные совпали, Вы получите смс/эмейл.
Это как? Хочу создать аккаунт example@gmail.com, когда он уже занят. Что сайт должен написать? Создать новый аккаунт, а старый удалить?
Эмейлы это немного другой случай.
Вы же тут письмо не получите.
Злоумышленник же работает по известному ему эмейлу.
Но на других ресурсах необязательно палить, что такая почта есть в базе или нет.
Так же, как и не нужно делать "подбери номер телефона" в сервисе эмейлов и любом другом.
Существование эмейла можно пробить через отправку письма. Как и существование номера телефона. Но их комбинации не нужно палить.
Даже если сайт не сообщает явно о факте наличия адреса в базе, это можно определить иногда по косвенным признакам. Если веб-приложение однопоточное, при наличии емейла в базе будет небольшая задержка на отправку email, а при его отсутствии задержки не будет.
Отправляем почту после вызова fastcgi_finish_request() дабы не тормозить клиента.
Ваше замечание бонусом.
Брутфорс телефонного номера любого пользователя Google