Как провайдеры заботятся о безопасности клиентов

    Здравствуйте. Казалось бы, в современном мире есть довольно очевидные (даже для среднестатистического человека не связанного напрямую с IT) понятия. Например, что хранить пароли плейнтекстом в txt на рабочем столе — это плохо. Но, хостинг ukraine, к сожалению, понял это только в январе 2020. Ссылку не оставляю, дабы не нарушать правила, но гуглится быстро. А что же с другими провайдерами? Например, с интернет-провайдерами. Я решил провести небольшой эксперимент, и поделиться им с вами. Скажу сразу: у меня не было никакого злого умысла, как и не было цели навредить кому-либо. Зато есть цель донести до людей что стоит более ответственно относиться к пользовательским данным и личным кабинетам, в особенности, если в них есть возможность беспрепятственно менять настройки. Возможно, если эту ситуацию придать огласке что-то изменится. А может и нет. Кто знает… Я все же попробую.

    Предисловие


    Сидя у друга в офисе заметил как он оплачивает интернет родственникам. Заходит в личный кабинет, оплачивает счет картой. Казалось бы, ничего необычного. За исключением того, что входя по номеру договора он использует этот номер и как логин и как пароль. Я незамедлительно спросил его об этом, и порекомендовал изменить пароль, что он тут же и сделал. Я тут же задумался. Следить за безопасностью собственных данных это прямая обязанность пользователя. Но он же не один такой. Наверняка из огромного количества пользователей этого провайдера есть те кто не меняет пароль. Более того, если это пожилые люди они могут даже не знать о нем. Ходят оплачивать интернет через терминал наличными, а у них все это время действует личный кабинет без какой либо защиты. Может быть провайдер как-то решает эту проблему? Стоит это проверить.

    Экшен


    Спросил номер договора у товарища. На его основе сначала вручную пробовал зайти в аккаунты пользователей постоянно прибавляя 1 к номеру. Успех: 20/20. Успешной считаем попытку если аккаунт существует и удалось войти в личный кабинет. Вот примеры скринов (личные данные пользователей скрыты).

    Список тикетов:



    Еще подключенные услуги с другого аккаунта:



    Мне стало грустно. Может быть это потому что я использую адрес этого же провайдера? Может быть, если я подключусь из сети другого провайдера мне не дадут попасть в личный кабинет? Быстро настроил VPN в другой стране, пошел в сторону по убывающей от исходного номера. Успех: 9/10. Одного из аккаунтов не существует.

    Впоследствии я написал простенькую программу которая:

    • заходит в личный кабинет если он существует;
    • если аккаунта не существует — оставляет соответствующую пометку в базе;
    • сохраняет в базу соответствие ID, номера телефона и подключенных услуг;
    • делает задержку в минуту;
    • приступает к следующему пользователю.

    Анализ


    Успешность эксперимента: 82/100. Из 18 провальных попыток — 11 несуществующих аккаунтов, или аккаунты без подключенных услуг, 7 аккаунтов с нестандартными паролями.

    Исходя из того что я увидел даже на данном этапе можно сделать следующие выводы:

    1. 82% выборки используют в качестве логина и пароля один и тот же символьный набор, который по совместительству является номером договора;
    2. форма входа никак не защищена от перебора аккаунтов. Я зашел в 82 разных аккаунта с одного и того же IP при 100 попытках суммарно;
    3. личный кабинет никак не защищен от попыток проникновения из другой сети;
    4. в форме входа нет никакой защиты от роботов.

    Что можно сделать с полученными данными? У нас есть номер телефона клиента и список подключенных услуг. Если мы провайдер-конкурент, и к нам каким-то образом попали подобные данные — мы можем обзвонить полученные номера и предложить более выгодные условия. Если нет — у нас есть база телефонных номеров для обзвонов в принципе. Что бы мы не продавали/рекламировали/предлагали. Если мы злые шутники (ну, или нарушители закона) — мы можем поменять пароль, вызвать мастера, или отключить услугу. И это только навскидку, без особых размышлений. В любом случае, эту ситуацию можно использовать либо для личной выгоды либо для причинения вреда пользователям.

    Послесловие


    Базу я, как порядочный человек удалил. Код, исполняемые файлы и сервер с VPN тоже. Что читателю делать с полученной информацией — решит сам читатель, это будет на его совести. Я ни в коем случае не призываю повторять этот эксперимент, и каким-либо образом использовать полученные данные. Более того, я призываю всех провайдеров относиться к своим клиентам и к их данным со всей ответственностью.

    А вообще, камон. У этого провайдера половина страны клиентов, а он использует по умолчанию номера договоров в качестве паролей. Используйте по умолчанию сложные пароли, прикрутите капчу на вход, сделайте элементарные проверки на перебор, запретите вход по номеру договора со всех IP кроме клиентского, неужели это так сложно?

    А читателям рекомендую проверить свой личный кабинет и своего провайдера. В любом случае, не стоит забывать, что заботиться о сохранности собственных персональных данных должен сам пользователь, не стоит полагаться на кого-то другого.

    UPD 20.03.2020
    Вышеупомянутый провайдер принял меры (хоть какие-то). Капчи все еще нету, возможность входа из других сетей не проверял, но зайти по стандартному паролю уже не получается. Говорит, недостаточно надежный пароль, и предлагает войти через телефон (подтверждение смс кодом).

    image

    Ну, и на этом спасибо (реально благодарность, не сарказм).
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 26

      +1

      Шел 2020-й год… Крупным корпорациям было все также плевать на клиентов. Потому что конкурентов нет. Государство может быть штраф вкатит, а может и нет, но компания все равно очень тесно связана с властными структурами. Поэтому пофиг. Так и живем

        +9
        закрывать вход из сторонних сетей — весьма сомнительная практика. Я, например, половину счетов оплачиваю с рабочего компьютера. А уж залогиниться к провайдеру если интернет не работает, так вообще только из другой сети (телефон, друзья и т.д.)
          0

          Согласен, сам иногда захожу в акк с мобильного интернета. Но есть же компромиссный вариант. Например, по умолчанию оставить возможность входа отовсюду только по номеру телефона с принудительной 2fa через смс.

            0
            При некоторой сноровке можно делать VPN до дома. Что вдвойне выгоднее, но увы — не каждый это сможет настроить.
              0

              Можно. Но впн не решает проблему доступа в кабинет при отсутствии интернета дома.

                0
                Верно. Но, например, у нас в городе есть проводной пчелайн, это который FTTB, и как оказалось, внутри этой сети все клиенты свалены в кучу и не изолированы, до L2TP. Более того, когда ты перестаешь платить, они блокируют твой L2TP, но линк физически не обрывают. И вот один мой не совсем чистоплотный знакомый узнал, что его работа тоже подключена через этого провайдера. И он перестал платить за интернет, пробросив маршрут до работы. Вот так вот.

                Я так понимаю это обход полной блокировки клиента, который вдруг забыл пароль и лишился интернета. Но ЛК ему остаётся доступным. Однако, у моего провайдера, во времена ADSL для обхода этой ситуации был бесплатный логин/пароль, через который доступен только ЛК.
            +1

            Это же секрет Полишинеля. Могу добавить, что:


            • этот же пароль (от личного кабинета) используется, как правило, для аутентификации в беспроводной сети, которую настраивают инженеры при подключении клиента;
            • этот же пароль часто используется для входа на роутер, который ставят клиенту;
            • часто логин-пароль состоят только из цифр (привет, перебор паролей Wi-Fi).

            Такие дела.


            С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?

              0
              С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?

              В корпорациях и больших организациях, где работает множество людей и подключено в сеть множество рабочих станций обычно установлен AD. А в нём заданы правила и требования как к паролям, так и в логину. В итоге — новорега система первым делом заставит изменить пароль + не позволит пропустить этот шаг. А ещё будет заставлять это делать с некоторым периодом.

              Если рассматривать провайдера в этом ключе, то его клиенты это как раз сотрудники в большой компании. И почему это нельзя организовать подобно?

              От себя добавлю, что у моего провайдера доступ к ЛК изначально был только изнутри его сети. Но не обязательно из клиентской точки, на которого оформлена услуга.
                0
                Все-таки работники организации и клиенты провайдера это разные категории. Первые работают на оборудовании хозяина, чтобы обеспечить ему прибыль в рамках трудового или гражданского законодательства. В компании есть ответственное лицо, которое отвечает лично за безопасность компании. Вторые же платят провайдеру за пользование каналами связи. И физики здесь являются, по сути, такими же клиентами, как и юрики. Поэтому физ лица, также как и юр лица, должны выделять в своем доме (квартире) ответственного за безопасность и заниматься паролями и прочими вещами.
                Дверь в квартиру же собственники/владельцы сами меняют-усиливают, а не сваливают это на управляющую компанию или государство.
                  0
                  Это всё понятно. Но что на счёт ПД? Разве провайдер не обязан охранять их? Ну и вроде как ЛК клиента это коммерческая тайна провайдера (там же данные о тарифе, иногда — баланс счёта и прочее). Много ли банков могут похвастаться таким же отношением к клиенту?
                    0
                    Есть нормативные требования, которые предъявляют требования сложности к паролям в личных кабинетах клиентов и все остальные требования (регулярная смена, неповторяемость и т.п.) и не отдают это на откуп довора об оказании услуг связи? Если да, то я неправ :)
                  +1

                  Смена пароля с периодом кстати признана многими специалистами по безопасности бессмысленной и вредной:
                  https://www.schneier.com/blog/archives/2016/08/frequent_passwo.html
                  https://www.sans.org/security-awareness-training/blog/time-password-expiration-die
                  https://cryptosmith.com/password-sanity/exp-harmful/

                    0

                    правильно. Лучший пароль — пароль, которого нет )
                    А смена пароля провоцирует пользователя на махинации типа
                    был "MySuperBestPassword#123" -> "123#MySuperBestPassword"

                  0
                  разве в обязанности провайдера входит обучение компьютерной гигиене?
                  видимо и своих сотрудников тоже))
                  бесплатный генератор паролей, да хоть на 8 символов, цифро-буквенный без спецзнаков (заботимся о пенсионерах), пароль печатать в договоре. Понятно, что это не секурно и компрометируется перед инженером, но уже отсеет толпу любопытных.
                    0
                    Странно, что не возникает вопроса о том, что пользователь должен поменять пароль от личного кабинета. Ведь если пользоваться, даже сложным паролем, который сгенерировал некий инженер, то это означает — изначально полагаться на скомпрометированный секрет.
                      0
                      ну я же написал, что отсеет любопытных. Кому очень надо, тот с инженером/ами будет договариваться, а пока что — известно всё от большинства ЛК и никого левого не надо посвящать.
                    0

                    Если злоумышленник таким образом сможет войти в лк 80% абонентов и отключить всё — это уже будет проблемой провайдера.

                      0
                      Как говорили в Лаконии: «если». Учитывая низкий уровень просвещенности населения в вопросах инфобеза и сохранности своих данных, внедрение сложных систем управления паролями скорее отпугнет большое количество клиентов, которым удобно так, как сейчас, а все эти ваши безопасные штуки будут только досаждать. Все-таки это бизнес. А восстановить тарифы во внутренних системах в случае такого массового отключения будет намного проще и дешевле, чем заниматься воспитанием.
                      Не забывайте, что Хабр это ИТ-ресурс, и желание большинста местной аудитории не будет отражать желаний большинства платящей провайдеру аудитории.
                        +1
                        Это будет проблемой «по вине» провайдера, но никак не «только проблемой провайдера». Давайте вспомним классическую техподдержку. Сколько времени у нее уходит на решение проблемы, и насколько тактично они подходят к вопросу? У вышеуказанного провайдера на все обращения ответ один: «предлагаю оформить заявку на вызов мастера» (проверено).
                        А теперь, давайте посчитаем процентное соотношение людей которые не в состоянии не то что решить подобную проблему, а хотя бы понять что в их аккаунт проник злоумышленник.
                        И сидеть без интернета пару дней пока техподдержка сообразит, пока клиент договорится с мастером это уже проблемно для клиента. И страдает от этого в первую очередь клиент.
                          0
                          Ну так это ведь хорошо. Повторяя такую ситуацию раз в неделю-две можно добиться того, что либо провайдер поймёт в чём дело и заменит пароли, либо куча клиентов перейдут к другому провайдеру, а тот обанкротится.
                            0

                            Это хорошо пока за подобные действия не придется кому-то отвечать. Как только у провайдера начнутся убытки — начнутся активные действия, и уж поверьте, не только в сторону улучшения безопасности, а ещё и в юридическую сторону вопроса. Так что, идея с явным вмешательством и вредительством так себе.

                              0
                              Да, я понимаю это. Поэтому и даже не думаю что-то такое делать.
                      +2
                      Ещё здорово, когда провайдер в личном кабинете пишет что-то типа:
                      Доступ VPN: Пользователь superluzer пароль yadebil
                      Доступ ЛК: Пользователь superluzer_lk пароль yaidiot
                        +1

                        В 2015 году работал в этом провайдере. При знакомстве клиента с ЛК, рекомендовал сменить пароль, когда уйду. Оставлял вкладку открытой. Ответственность на клиенте и только. Дальше уж как есть

                          +1
                          Ну может для 2015 это и было и нормально (нет), но уже 2020 как бы…
                          +2
                          На эту тему есть прекрасный фильм Юрия Быкова, «дурак» называется.
                          Или хакер в столовой.
                          Операторам связи поровну на эти мелкие неурядицы. Когда коту делать нечего, он что делает? Так же и тут. Работает, да и ладно. Большая часть структуры страны на честном слове держится. На заводах с угрозой второго Чернобыля пробойны в трубах чепиками из дерева латают.
                          Примерно так, скотчем...

                          Для наглядности посадят нерадивого взломщика таких паролей и дело с концом. Нет человека, нет проблем. Как есть она, правда. А те кто предлагает всякие условия создания идеального мира пароля. Вам бы в Китае наверняка понравилось. Там во всю идет процесс качественного стягивания гаек. Наслаждайтесь свободой слова воздуха, и не забивайте головы всякой фигней. Такими статьями вы рано или поздно, или уже допишетесь до настоящих статей в уголовном кодексе, когда за такие недочеты начнут привлекать к ответственности. И не оператора связи, а того кто создавал этот личный кабинет, школьника студента на подработке на пол ставки.
                          Раньше наоборот проблема была, лет… надцать назад когда в одном из региональных операторов эти пароли на листочках-договорах сгенерированные выдавали в конвертиках. Приходишь к заказчику, винда мертвая. Все переустановил, а вот этот вот конвертик клиент потерял куда-то положил. Тут либо заявка на новый логин; пароль, которую хорошо если через неделю обработают, либо ищем.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое