Comments 47
У воспитанных людей принято не публиковать уязвимость не дав хотя бы неделю на закрытие… Или из-за этой проблемы они должны были программистов своих на выходных от отдыха отрывать??
Тот, кто хоть раз наткнулся на подводные камни Эртелекома, скажет, что эта контора не заслуживает к себе хорошего отношения.
Полностью поддерживаю — пару дней для закрытия бага не помешали бы… Хотя с другой стороны вроде и фирма солидная, а такая недоработка(не буду говорить баг или уязвимость — просто кто-то на стадии бета-теста не посчитал нужным сразу код написать граммотно).
Эртелеком вроде уже отдал данные (трафик) всех своих клиентов каким-то iMarker, не понятно какие еще данные кому они могут отдать чтобы стало хуже.
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
Естественно письмо было отправлено с сети провайдера как я понимаю?
В таком случае провайдеру не составит проблем вас вычислить:
1. Смотрят ip, видят прокси
2. Смотрят логи, кто юзал даный прокси в даное время.
Или ещё проще, посмотрят какой ip смотрел разные странички клиентов, достаточно умно грепнуть аксес лог =)
Проще грепать аксес лог на хождение от пользователя автора к хабру, «хорошо», что у хабра нет https :)
Если они смогли допустить такую позорную дыру, то уж ума на анализ логов вряд ли найдётся.
собственно это не взлом, так что наказать за это не могут, по закону никто не мешает менять данные в адресной строке браузера, и это целиком вина эртелекома, что они так просто светят в мир пользовательские данные.
Какая жесть.
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
… а потом опубликовал на хабре из-под своего аккаунта. Хостер ведь не знает о хабре)
> я отписал провайдеру на почту с левого почтового ящика
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
А gmail сейчас тоже SMS просит)
Сейчас самое анонимное, что можно придумать — это завести виртуалку, проксировать с нее весь трафик на TOR, создать почтовый ящик на каком-нибудь зимбабвийском почтовом сервере, и слать через него)
Нет не указывал. Но как я понял надеяться на анонимность не стоит. Ну я достаточно далек от таких вещей, все получилось случайно. Намотаю на ус про гмыло.
В том же gmail достаточно хотя бы один раз засветить свой реальный IP (в т.ч. при регистрации), чтобы быть скомпрометированным. Безопасность может дать TOR, и то, довольно условную… А через TOR ящик gmail, кстати, зарегать почти что нереально.
Вам надо намотать на ус то, что СНАЧАЛА нужно дождаться исправления уязвимости, а ПОТОМ только публиковать это.
Параноики могут зайти на mail.ru через tor, а при регистрации нового почтового аккаунта воспользоваться кнопочкой «у меня нет мобильного телефона». mail.ru попросит ввести капчу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Написал им в онлайн-консультанте ссылку на этот пост. Просто поинтересовался — известно ли им о проблеме.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
Результат ожидания — ошибка скрипта в диалоге соединения с оператором.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
При второй попытке был получен ответ, что информацию передали специалистам — они разбираются.
UFO just landed and posted this here
Я заходил с кабинета, а вообще просто описал тот факт, что как ни крути, светятся личные данные. И это на мой (непрофессиональный) взгляд неправильно.
Судя по вашим скринам, палятся только ФИО и номер договора, для чего можно применить эти данные?
Априори, распространение персональных данных без явного согласия субъекта ( — распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; ), к которому эти самые данные относятся, является уголовно наказуемым деянием.
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
Выше был пример обращения к онлайн-консультанту, там как раз эти данные требовались, так что их можно применить, чтобы прикинуться другим клиентом.
Здравствуйте, Игорь.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Кнопку статистики похоже просто убрали из ЛК, а попытки перейти по прямой ссылке (осталась в истории браузера) ведет к ошибке
Оперативно
Оперативно
Дом.ру вообще весёлый — такое впечатление, там под одной веб-мордой объединены несколько систем с отдельными логинами и разной длиной сессии.
Уважаемый trasser, от лица Дом.ru — спасибо, что обратили внимание на уязвимость, благодаря вам устранили ее максимально оперативно. Народный контроль в действии)) Приятного пользования услугами
Маскировка явно не удалась.
Sign up to leave a comment.
Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов