Комментарии 117
А если ответ «Идите в ж***, у нас всё ок!», то смысл ждать 30 дней?
Конечно, ждать так долго, как ждал я (с мая по август — очень похожая ситуация, кстати: Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона) тоже не дело, но один день? Один ответ поддержки? Не разработчиков, не службы безопасности, а просто получив ответ(ы) от службы поддержки?
Если есть хотя 1 тысячная от 1 % из 100, когда пользователя могут скомпрометировать, то надо СРАЗУ реагировать!
Я же и пишу, что принимать слова саппорта от том, что уязвимости нет, нельзя — нужно, чтобы вопрос был передан ответственным людям.
Автор поспешил с публикацией? Поспешил. Нужно было пробовать достучаться дальше? Нужно было.
И не кричите, пожалуйста.
Ну, лично мне удобнее когда код виден сразу. Увидел и сразу ввёл, не надо открывать сообщения. В некоторых случаях бывает, что код не в начале и не в конце, а сообщение большое. И его ещё выискивать надо. Но это скорее вопрос моего удобства + редко когда где-то логинюсь, только дома или в офисе. А так с точки зрения безопасности ваш посыл вполне оправдан.
А некоторые сознательно выбирают себе такие модели смартфонов, чтобы видеть подобные сообщения без разблокировки. Уж очень часто на каждый чих эти коды присылают, даже если ты не разработчик.тестировщик подобных систем :)
Тут я Теле2 поддерживаю — это именно тот сценарий, когда компромисс между удобством и безопасностью отдаётся на откуп пользователю.
А здесь вопрос именно в «зачем». Зачем портить удобную функцию предпросмотра СМС? У меня всегда сообщение прокручивается в статусной строке и я успеваю увидеть и ввести код, мне не требуется делать лишние движения. Зачем портить эту удобную функцию?
Неудобным способом никто пользоваться не будет без крайней необходимости.
А если вы решили использовать телефон в качестве фактора аутентификации, то должны позаботиться о его физической защите — это ваше решение и ваша отвественность.
Нет, это вы решили, купив телефон, который не скрывает части уведомлений при блокировке, прекрасно зная, что в них может содержаться конфиденциальная информация. Мой вот позволяет настраивать показывать уведомления при блокировке, не показывать вообще, или показывать, но скрывая конфиденциальную информацию.
В конце концов вы можете вообще отключить уведомления о смс. Или не можете?
Совпадение, да. Хотя вы, похоже, на грани перехода на личности и оскорбления. Видимо, кто-то посчитал, что вы эту грань уже перешли. А может кому-то надоело уведомления о нашем диалоге. Тогда и мне карму значит минусанули.
Насчёт всех остальных сервисов — видимо у вас такая выборка. У меня другая, скорее наоборот претензии к нескольким сервисам, которые заставляют разблокировать телефон, хотя я его специально выбирал, чтобы читать короткие сообщения без разблокировки. Основной банк, слава богу, подобным не страдает. О возможности скрывать уведомления на заблокированном телефоне или скрывать в них персональную информацию узнал только в ходе диалога.
Насчёт ясновидения — всего знать никто не может, но если вы знаете, но продолжаете пользоваться, то это ваш выбор, как мой — продолжать пользоваться процессором с уязвимостью. У вас минимум две опции — сменить оператора или сменить телефон, а может просто в настройках или альтернативных прошивках покопаться.
А по моему опыту разработки систем с публичной веб-мордой, отсылающих смс-сообщения пользователям, текст этих сообщений формулирует бизнес, а не программисты. Программистам, с одной стороны, всё равно какой шаблончик прописать, а с другой сами не имеют права менять, если даже захотят или увидят явную опечатку — вдруг это маркетинговый ход? А нередко вообще шаблончик лежит где-то в базе и меняет его бизнес в админке, а программисты и не знают какой конкретно сейчас используется.
p.s. Хотя я будь на вашем месте, обязательно бы сообщил, не из за корыстных целей конечно, а из благородности.
Разработчики не учли то, что люди используют разные форматы времени; timestamp формируется неправильно, если стоит 12-и часовой формат
Вообще-то причина не в том, что разработчики чего-то не учли (хотя и в этом тоже, но это уже мелочи), а в том, что они, как и подобает настоящим советским разработчикам, снова изобрели велосипед. ISO 8601 ведь не для них писался, это совершенно очевидно.
Ну а зависимость формируемого параметра от локали девайса говорит нам, что опять понабрали студентов по объявлению, чо.
timestamp формируется неправильно, если стоит 12-и часовой формат (как в моём случае), поэтому запрос не может пройти проверку на сервере
Это
Например, если мы пишем мессенджер, то будет нехорошо, если при работе с нестабильной сетью сообщения будут просто теряться, поэтому добавляем в мобильное приложение автоматическую переотправку сообщения, пока не получим ответ «все ок, опубликовано». Но что если потерялся именно этот ответ сервера? Тогда телефон попробует снова, и будет отправлено две копии сообщения. Поэтому телефону стоит добавлять в сообщение некий id, и сервер будет игнорировать сообщения с одинаковым id. В качестве такого id подойдет локальный timestamp.
Хотя не очень понятно, чем именно в их случае сильно мешают дублирующиеся запросы.
Поэтому, по сути, ответственность за это несет Хабр =)
Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?
Мне, как клиенту, конечно, хотелось бы, чтобы не выводило вообще ничего.
А тут оператор допускает раскрытие персональных данных неопределенному кругу лиц.
Также не понимаю — зачем провайдерам в личном кабинете пользователя указывать паспортные данные абонента, ведь ФИО должно быть достаточно, ну храните паспортные данные у себя в недоступной публично БД, свои паспортные данные я и сам прекрасно знаю.
Зачем их отображать и/или отдавать по публичному API? Более того, такое отображение сильно снижает защищенность в случае, если у злоумышленника есть доступ к ЛК, и он хочет произвести какую-то манипуляцию.
По телефону не вижу номера, и адрес звездочками)))
Вопрос в том, пытались ли вы до публикации связаться с провайдерами, у которых присутствует данная уязвимость?
Proof of work до закрытия уязвимости без bug report — спорное действие.
Можно побаловаться…
Кстати странно что все еще все идет через ppo, это самописная утилита мост между вебсервером и ораклом, для вызовов через веб методов пакетов по url-у /пакет/функция. За 10 лет ничего не изменилось балин.
На мой запрос — почему? сказали что они лучше знают как хранить пароли и мол так все делают.
И вопрос — а откуда вы знаете как он хранится внутри? Кто вам дал такой ответ за запрос?
+ его присылают на телефон СМСкой тоже в открытом виде. Если бы он был захеширован — то пришел бы другой сгенерированный системой пароль.
Разве не так?
Есть конечно же подозрение что есть параллельное хранилище зашифрованное для работы суппорта, но это по моему мнению дыра внутри безопасности эртелекома.
В итоге месяц ругался, пригрозил написать заявление коллективное, по факту вандализма. На след.день прибежали с ведерком, тряпочкой, отодрали.
Раньше ругался с ними по поводу качества интернета, сейчас все хорошо с этим.
Еще проблема есть в личном кабинете. Баланс некоректный у них. Списание было на 1-2 мес. вперед. Причем в биллинге списания нет. А на сайте есть. И таких косяков по мелочи набирается снежный ком. Увы, но бардак он везде…
Вычисляем точный адрес любого пользователя по номеру телефона или адресу электронной почты