Мегафон — кто угодно может управлять вашим счётом

    Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона, то имеется возможность попасть в «Мегафон Сервис-Гид Северо-Запад» без пароля (для других регионов, возможно, существует аналогичная ссылка).



    «Мегафон» «знает», что это именно вы сейчас обращаетесь на сайт и даёт такую возможность.

    Для запрещения этой фичи в том же Сервис-Гиде есть настройка «Управление автоматическим входом», однако она не работает. Т.е. она находится в позиции запрещено, но на самом деле вход разрешён.



    В итоге, вы никогда не трогали эту галочку, убедились что она в позиции «запрещён», но такой вход оказался разрешен.

    Какие проблемы безопасности это может вызвать?

    1. Если вы раздаёте интернет другим пользователям, все они имеют доступ к управлению вашим лицевым счётом.

    2. Такой же доступ имеет всё ПО, которое запущено на всех (ваших) устройствах которым вы раздали интернет. Тут можно возразить что нечего, мол, запускать непонятное (троянское) ПО, однако, один из основных способ защиты от вредоносного ПО — это разграничение привилегий. Здесь же мы видим, что любое ПО с нулевыми привилегиями в системе имеет доступ к вашему лицевому счёту.

    3. Вопросы всяких XSS уязвимостей — не изучены.

    Да и сам Мегафон, вроде как, понимает опасность. В новой версии «Личного Кабинета» (где такой уязвимости нет), висит предупреждение:



    Две недели назад я сообщил об этой проблеме саппорту, однако в ответ мне пришло следующее:



    Учитывая, что пароль из 120 символов (как рекомендовано здесь) не очень удобно диктовать по телефону, и то, что пароль, в общем-то, здесь не нужен, я составил новое обращение с просьбой разобраться без пароля. Однако мне ответили стандартной отпиской.

    Так же был найден пост в интернетах, свидетельствующий о том, что это проблема уже давно существует, либо регрессия.

    Пора писать на Хабр, подумал я.

    Может такая проблема у одного меня? Задал вопрос на Тостере — откликнулся один человек и подтвердил проблему.

    UPD: Мегафон пофиксил проблему с беспарольным входом. Проверил на своём телефоне — действительно, галочка осталась в режиме «запрет» и запрет реально работает, вход без пароля не возможен. Бобро всегда побеждает!
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 80

      +38
      image
        +44
        Пароль для личного кабинета? Что?
          +23
          Мне тоже кажется странным просить пароли
            +31
            У меня слов нет (нематерных)! Много лет назад я с ними уже «бодался» по поводу требования их техподдержкой моего пароля от личного кабинета. До сих пор требуют. Пипец! (Извините!)
              –10
              Пипец! (Извините!)

              Не, ну это ты конечно грубо зашел! Не надо так ругаться, у нас же тут профильное IT-сообщество, нехорошо так говорить! На Вашем месте следил бы за речью!!!
              • UFO just landed and posted this here
                  –15
                  Ты чтооооо, чекааай, на хабре теперь за мат банят!
                  • UFO just landed and posted this here
                      –4
                      Меня, чтобы далеко не ходить, за «пиздец» несколько месяцев назад банали (в комментариях в профильном хабе). Не знаю, что там мат, а что — нет, но инцидент имеет место быть!
                        +4
                        Вопрос просто в уместности крепких выражений в каждом отдельном посте.
                        Иногда они уместны и придают яркую экспрессивную окраску сообщению или могут использоваться в качестве сочного юморка, но чаще выглядят как птушное хорохорство.

                        Обычно большинство людей не против использования мата в уместных ситуациях.

                        Ваше «тыачоо» и «чекаай» выглядят нелепо, словно во дворе дети ругаются, это другим и не нравится.
              +3
              Могу предположить, что на первой линии поддержки сидят люди с улицы, которым доступ ко всем личным кабинетам не доверяют. Поэтому они просят пароль в каждом конкретном случае. Чтобы зайти в ЛК, увидеть, что автовход отключен и отписать «Извините, проблема не подтвердилась». Ведь проверить наличие или отсутствие автовхода с вашей симки они все равно не смогут.
                +3
                Это ещё хуже, чем если бы у них был доступ ко всем личным кабинетам (с логгированием и контролем). Получается они безконтрольно могут собирать пароли юзеров.
                Я уж не говорю про то что про сообщения о уязвимостях компания должна как-то адекватно реагировать, вне зависимости от того как они организовали техподдержку.
                  +8
                  При получении пароля к личному кабинету по SMS во входящем сообщении говорится: "… НЕ СООБЩАЙТЕ ЭТОТ ПАРОЛЬ НИКОМУ, в т.ч. сотрудникам МегаФона!". (стилистика текста как во входящем SMS) Сл-но, они не могут просить этот пароль, ибо это будет противоречить их же указаниям.
                    0
                    Увы, не говорится этого в смс ) Они присылают короткое сообщение: 'Пароль *** будет установлен через несколько минут'. И все. Им слишком дорого писать тебе длинные смс с предупреждениями о том, что нельзя сообщать пароли кому-либо )) разорятся бедняги!
                      +3
                      Я это из реального SMS скопировал. :) Видимо в разных регионах разные SMS шлют.
                        +3
                        Им слишком дорого писать тебе длинные смс

                        А с другой стороны, мне иной раз так и хочется видеть в том же сбербанке галку типа «Pro user», которая уберет из SMS все эти грозные напоминания — при плохой связи часто приходит все что не нужно, но не последняя часть с паролем. Я не против получать доп. информацию об операции, скажем номер счета и т.д. (например, в яндекс.деньгах приходит только пароль и поставщик), но там столько лишних слов, создающих кучу частей…
                      +3
                      А попробуйте пожаловаться на вымогательство паролей сотрудниками мегафона.
                        +5
                        Куда?)
                          +7
                          черт, действительно, не обратно в мегафон же)
                            0
                            В службу безопасности мегафона?
                              +19
                              И там попросят пароль от личного кабинета.
                                +1
                                >от личного кабинета.
                                … вашего интернет-банка.
                                  +5
                                  Кстати об интернет банках. Если у оператора появится услуга типа «переадресация SMS», подключаемая через Веб,
                                  то в таком случае плакали все защиты интернет банков смс авторизацией.
                                  В сценарии когда компьютер скомпрометирован, получается что он и пароли к интернет банку перехватит, и форвардинг смс включит.
                                  Будет что-нибудь типа этого www.banki.ru/services/responses/bank/response/4867553
                                    +1
                                    У МегаФона в plus.messages.megafon.ru/onebox/mix2.do SMS от Сбербанка и Яндекс.Денег не отображаются. Другие банки не проверял.
                                      0
                                      хмм… я думал что лучшая защита от этой услуги — не подключать её.
                                      но тут выясняет что войти в неё с паролем от сервисгида — это и значит автоматически её подключить.
                                      ну, в прочем, пока нет оснований полагать что там (был/есть) автологин из веб.
                • UFO just landed and posted this here
                    +5
                    Такая же проблема и у МТС — при входе с любого устройства, которому расшарили интернет или через роутер МТС.
                      0
                      Можете еще с телефона зайти на yandex.ru через мобильный МТС, и о чудо, яндекс знает ваш номер телефона.
                      Скрытый текст
                      image
                        +3
                        Если виджет загружен с доменов МТС, то это пока что будет не уязвимость.
                          0
                          А если парсить страницу JS'ом и отправлять на сервер яндекса AJAX'ом?
                            +2
                            не будет доступа к нему JS'ом, если всё правильно сделано.
                              –1
                              А это как, если не секрет? :)
                                +3
                                  0
                                  Это если будет использован iframe, насколько я понимаю. Но ведь неизвестно что используется у яндекса. Может быть AJAX.
                                    0
                                    поэтому я написал «если всё правильно сделано». можно найти 100 способов создать уязвимость на ровно месте.
                                      0
                                      Если не секрет. Я задал вопрос. Довольно конкретный. Мне действительно интересна эта проблема. Почему меня заминусили?
                                        0
                                        Я вам минусы не ставил. В данный момент в этом посте у вас один минус — это ни о чём не говорит вообще.
                          0
                          Это не чудо, а MSISDN в хидерах http://stackoverflow.com/questions/10278989/how-to-get-msisdn-number-in-wap-using-php например как самому узнать. ЕМНИП, ещё со времён WAP'a что-то такое тянется.
                            +1
                            Можно ли сформировать запрос к личному кабинету Мегафона, указав в хидере чужой номер телефона? Или там еще что-то помимо номера телефона для проверки передается?
                              0
                              Если не ошибаюсь, точка доступа сама проставляет MSISDN, это делает не телефон. Причём это может происходить только для определённых диапазонов ip, о чём написано в ссылке JetP1L0t. Скорее всего, указанный вами MSISDN будет проигнорирован.
                        +3
                        Сейчас автора забанят…
                          +3
                          У Мегафона руки длиннее, чем у Билайна?
                          +9
                          С недавних пор отдельные межгородские атобусы оснащают модемом Мегафона. Внутри автобуса висит бумажка с паролем. Подключился. Через пару часов вместо запрошенной страницы вылезает такая:
                          screenshot
                          image

                          Предлагается сменить тариф или подключить какой-то пакет на определённую сумму — на моё усмотрение. Не сказать, что совсем уж свобода действий, но всё-таки полагаю я не должен был видеть эту страницу…
                            +1
                            А что за обозначение «R» у сети? Заранее спасибо за ответ.
                              +1
                              Роуминг?
                                +4
                                телефон в роуминге
                              +15
                              >> Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона

                              А если зайти по этой ссылке через проводной Интернет, то внизу страницы можно прочитать следующую «радостную» информацию:

                              Уважаемые клиенты! В настоящее время возможны случаи некорректной работы Системы «Личный кабинет» (Сервис-Гид) с браузерами Internet Explorer 11-й версии и выше, а также Mozilla Firefox 25-й версии и выше. Для корректной работы системы рекомендуем Вам пользоваться более ранними версиями Internet Explorer и Mozilla Firefox, либо использовать другие браузеры.
                                0
                                Да мегафно вообще странные товарищи (для протокола заметим, что другого цвета товарищи иногда еще более странные). То 100рублей в месяц за запрет контента, Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань». То непонятные проблемы с MNP, то невозможность поменять симку при наличии паспорта и старой симки.

                                По описанной проблеме у меня есть основания полагать, что её первопричина хотя бы единичное использование программулины, поставляемой с модемом.
                                Была у меня задача наоборот разрешить такое, на одной симке ок, на второй ни в какую до вставки в модем со стандартным мегафоновским виндовым софтом (после этого работало на всех устройствах).
                                  0
                                  Последние пять лет точно никуда симку не вставлял, кроме телефонов. Это основной мой номер. Что было раньше затрудняюсь утверждать, но вообще модемами мегафоновскими не пользуюсь.
                                    0
                                    >>Т.е. чтобы они у меня деньги не пёрли непонятными способами типа сайта с премиум-контентом, открывшемся где-то в iframe размером 1x1, я им должен платить «дань»
                                    Вы должны платить деньги, за возможность не платить деньги :) имхо все логично че не так то?
                                    +5
                                    О Великий Рандом! Я думал, что это я верстаю как чудак…
                                    Прекрасный фронтенд 1
                                    image
                                    Чудесный фронтенд 2
                                    image

                                      +1
                                      Вы еще письма с отчетами не видели. Оно у них сверстано для распечатки, причем код раздут раз в 6.
                                        +2
                                        Если кому-то интересно — пример выписки по счету за месяц.
                                      +18
                                      Простите, они просят ПАРОЛЬ? В SMS? И это не мошенники? У меня рвутся все шаблоны. Просят пароль. Продиктовать и сообщить другому лицу. Не мошенники. Но просят сказать пароль. Но не мошенники.

                                      Не может такого быть. Просто не может.
                                        +1
                                        Не мошенники. Как я сказал в посте:
                                        я составил новое обращение с просьбой разобраться без пароля

                                        Второе обращение было через новый «Личный Кабинет», т.е. через веб. Я я там увидел тот же ответ:
                                        скрин


                                      +27
                                      — Шеф, у нас дыра в безопасности!
                                      — Хоть что-то у нас в безопасности…
                                        –4
                                        так у всех операторов
                                          +2
                                          что именно так?
                                          1. по дефолту фича включена
                                          2. её нельзя отключить
                                          3. у юзера есть иллюзия что она отключена
                                            0
                                            1 практически у всех (мтс, мегафон, теле2), иной раз 2

                                            Опс, похоже, при проверке, я нашел уязвимость в системе подтверждения теле2, или я чего не понял…
                                              0
                                              UPD: похоже, подтверждения вообще нет, либо сессия сохраняется не в куках, а вообще на вход с этого абонентского номера в ЛК, т.е. подтверждения все равно что нет. И возможности отключить я не находил
                                          +1
                                          Хаб «Я негодую» пал смертью храбрых, но дело его живёт.
                                            +1
                                            Ну вообще тут описание уязвимости. Ещё описан факт, что я обращался в ТП — вот это может тянуть на «Я негодую», учитывая их ответ. Однако, перед репортом уязвимости в паблик, принято дать возможность компании самой её пофиксить. Так что я описал что связывался с ними.
                                            +1
                                            Мать их за ногу!
                                            БиЛайн — всё аналогично.
                                            Если зайти на страничку с мобильного, виден телефон, остаток, информацию об слугах и выбор: войти с паролем и войти без пароля (!!!). По умолчанию — без пароля.
                                            Зашибись, молодцы.
                                              +1
                                              При этом галочка «автоматически входить в личный кабинет» в настройках безопасности снята.
                                              Короче, это общая дыра.
                                              Да ещё и паспортные данные светят и адрес домашний.
                                                0
                                                Ну у вас хоть галочка показывает что снята.
                                                  +1
                                                  И что? Кнопка-то «без пароля» есть и работает при этом. А в личном кабинете, да, в разделе безопасности и паролей висит целая оферта про вход без пароля и галочка при ней. Но галочка вообще всё отключает, т.е. заходишь на сайт БиЛайна и сразу попадаешь в личный кабинет, аж, минуя кнопку «войти без пароля»
                                                    +2
                                                    интересненько. да, признаю, у вас хуже.
                                              +1
                                              И это можно же написать такой хитрый сайт со скриптом, чтобы при заходе на наго форвардить информацию с сайта оператора. Даже никакого софта не нужно. Просто сайт.
                                              Кажется, у меня есть бизнес план.
                                                0
                                                Это уже из раздела XSS. Сомневаюсь что это будет так просто.
                                                  +1
                                                  Почему? Нам не нужно получить доступ к существующей или другой сессии. Нам нужно создать новую сессию, или даже просто проксировать страницу на другой сервер. Это не совсем same-orign policy. Как минимум через Web Sockets такое сделать можно легко и непринуждённо.
                                                    +1
                                                    хм, пожалуй да.
                                                    ну может они защитились с помощью devcenter.heroku.com/articles/websocket-security#origin-header

                                                    счас не могу проверить. последние недели мобильный интернет в квартире работает, только если вытащить руку с телефоном в окно. буду обращаться в мегафон опять.
                                                +3
                                                Спасибо, что обратили наше внимание. Работоспособность чек-бокса в Сервис-Гиде восстановлена. Теперь анализ настройки разрешения или запрещения автовхода работает корректно. Дополнительно разместили текст на странице с описанием функционала как в новом Личном Кабинете МегаФона.
                                                  +2
                                                  Спасибо! Обновил пост.
                                                    +1
                                                    Единственное, сейчас в поле логина всё ещё появляется мой номер телефона. Получается много кто может его узнать (так же: сторонние приложения, сайты через websockets)?
                                                      +15
                                                      А запрос сотрудниками поддержки пароля от ЛК — как-то прокомментируете?
                                                      +9
                                                      Вот вроде в теории «Хабр — не книга жалоб», а по факту Хабр — это вообще единственная реально работающая книга жалоб, на которую компании типа Мегафона действительно реагируют.
                                                        +1
                                                        Это другое. Это описание уязвимости в паблике. Уязвимости в паблике принято публиковать, даже если бы их пофиксили habrahabr.ru/post/264849/#comment_8539001
                                                          +3
                                                          А я же не говорю, что не стоило публиковать, я только за. Просто удивляюсь неорганизованности компаний, неспособных организовать приём грамотных багреквестов самим и вынуждающих писать стать в духе «я не смог до них докричаться, так что пишу тут».
                                                            +3
                                                            Будучи корп клиентом мегафона большинство серьезных вопросов решалось по следующему алгоритму:
                                                            Пишем заявку на почту в начале недели -> ждем конца недели -> пишем жалобу в форме обращения директору на сайте Меги -> получаем ответ в течение еще пары дней.
                                                            Все остальные попытки ускорить решение вопроса через КЦ, почту, или другие каналы связи — не особо помогали. (соц сети не пробовали, но и не очень как-то о корп договоре в соц сетях писать ;))

                                                      Only users with full accounts can post comments. Log in, please.