Comments 47
У воспитанных людей принято не публиковать уязвимость не дав хотя бы неделю на закрытие… Или из-за этой проблемы они должны были программистов своих на выходных от отдыха отрывать??
+22
Тот, кто хоть раз наткнулся на подводные камни Эртелекома, скажет, что эта контора не заслуживает к себе хорошего отношения.
+8
Полностью поддерживаю — пару дней для закрытия бага не помешали бы… Хотя с другой стороны вроде и фирма солидная, а такая недоработка(не буду говорить баг или уязвимость — просто кто-то на стадии бета-теста не посчитал нужным сразу код написать граммотно).
+1
Эртелеком вроде уже отдал данные (трафик) всех своих клиентов каким-то iMarker, не понятно какие еще данные кому они могут отдать чтобы стало хуже.
+2
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
Естественно письмо было отправлено с сети провайдера как я понимаю?
В таком случае провайдеру не составит проблем вас вычислить:
1. Смотрят ip, видят прокси
2. Смотрят логи, кто юзал даный прокси в даное время.
Или ещё проще, посмотрят какой ip смотрел разные странички клиентов, достаточно умно грепнуть аксес лог =)
+12
Проще грепать аксес лог на хождение от пользователя автора к хабру, «хорошо», что у хабра нет https :)
+3
Если они смогли допустить такую позорную дыру, то уж ума на анализ логов вряд ли найдётся.
-1
Вот тут не соглашусь)
Вот эта «позорная» дыра, это обычная оплошностьленивого програмиста.
А логиесли будет то будет смотреть администратор… И даже если это один и тот же человек, то я надеюсь админ из него получше, нежели програмист
Вот эта «позорная» дыра, это обычная оплошность
А логи
0
собственно это не взлом, так что наказать за это не могут, по закону никто не мешает менять данные в адресной строке браузера, и это целиком вина эртелекома, что они так просто светят в мир пользовательские данные.
+2
Какая жесть.
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
+14
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
… а потом опубликовал на хабре из-под своего аккаунта. Хостер ведь не знает о хабре)
+14
> я отписал провайдеру на почту с левого почтового ящика
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
0
А gmail сейчас тоже SMS просит)
+1
Сейчас самое анонимное, что можно придумать — это завести виртуалку, проксировать с нее весь трафик на TOR, создать почтовый ящик на каком-нибудь зимбабвийском почтовом сервере, и слать через него)
0
Нет не указывал. Но как я понял надеяться на анонимность не стоит. Ну я достаточно далек от таких вещей, все получилось случайно. Намотаю на ус про гмыло.
0
В том же gmail достаточно хотя бы один раз засветить свой реальный IP (в т.ч. при регистрации), чтобы быть скомпрометированным. Безопасность может дать TOR, и то, довольно условную… А через TOR ящик gmail, кстати, зарегать почти что нереально.
0
Вам надо намотать на ус то, что СНАЧАЛА нужно дождаться исправления уязвимости, а ПОТОМ только публиковать это.
0
Параноики могут зайти на mail.ru через tor, а при регистрации нового почтового аккаунта воспользоваться кнопочкой «у меня нет мобильного телефона». mail.ru попросит ввести капчу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
+7
Написал им в онлайн-консультанте ссылку на этот пост. Просто поинтересовался — известно ли им о проблеме.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
+2
Результат ожидания — ошибка скрипта в диалоге соединения с оператором.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
+2
При второй попытке был получен ответ, что информацию передали специалистам — они разбираются.
0
UFO just landed and posted this here
Я заходил с кабинета, а вообще просто описал тот факт, что как ни крути, светятся личные данные. И это на мой (непрофессиональный) взгляд неправильно.
+1
Судя по вашим скринам, палятся только ФИО и номер договора, для чего можно применить эти данные?
-2
Априори, распространение персональных данных без явного согласия субъекта ( — распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; ), к которому эти самые данные относятся, является уголовно наказуемым деянием.
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
0
Выше был пример обращения к онлайн-консультанту, там как раз эти данные требовались, так что их можно применить, чтобы прикинуться другим клиентом.
+1
Здравствуйте, Игорь.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
+4
Кнопку статистики похоже просто убрали из ЛК, а попытки перейти по прямой ссылке (осталась в истории браузера) ведет к ошибке
Оперативно
Оперативно
+1
Дом.ру вообще весёлый — такое впечатление, там под одной веб-мордой объединены несколько систем с отдельными логинами и разной длиной сессии.
0
Уважаемый trasser, от лица Дом.ru — спасибо, что обратили внимание на уязвимость, благодаря вам устранили ее максимально оперативно. Народный контроль в действии)) Приятного пользования услугами
0
Маскировка явно не удалась.
0
Sign up to leave a comment.
Articles
Change theme settings
Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов