Как стать автором
Обновить

Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов

Информационная безопасность *
Из песочницы
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в Windows.
Читать дальше →
Всего голосов 42: ↑25 и ↓17 +8
Просмотры 25K
Комментарии 47

ТВ-приставка Movix Pro: от софта до последней гайки

Управление проектами *Производство и разработка электроники *Мониторы и ТВ


Весной прошлого года компания «ЭР-Телеком Холдинг» (работает под брендами «Дом.ru» и «Дом.ru Бизнес») выпустила ТВ-приставку Movix Pro, которую, ни много ни мало, позиционирует в качестве российского ответа модным и популярным Apple TV, Google Chromecast, Xiaomi Mi Box и NVIDIA SHIELD TV. Примечательно, что над Movix Pro работали и продолжают работать сразу несколько команд в самых разных городах России. Так, платформой и пользовательскими интерфейсами занимается компания «Инетра» из Новосибирска. За техническую часть и производство «железа» отвечает компания «НАГ» из Екатеринбурга. Ну, а непосредственным заказчиком, куратором, координатором действий сторонних команд и разработчиком ряда подсистем является специальное подразделение внутри самого «ЭР-Телекома» в Перми. Мы отправились в Новосибирск, Екатеринбург и Пермь, чтобы воочию увидеть, как делают приставку Movix Pro, и какой её увидят пользователи «Дом.ru» уже весной этого года.
Читать дальше →
Всего голосов 17: ↑12 и ↓5 +7
Просмотры 44K
Комментарии 80

Возможные утечки персональных данных или как Дом.ru даёт полный доступ к личному кабинету по ссылке из http

Информационная безопасность *Контекстная реклама
Из песочницы
Впервые уязвимость была обнаружена еще 26.06.2020, о чем автор тут же сообщил техподдержке Дом.ru. Автор долго и упорно пытался решить проблему непублично, но встретил полное её непонимание техническими специалистами. Провайдер уверяет, что случай автора единичный, но сегодня пришло подтверждение наличия проблемы и у других источников. Автор не публикует ничьих личных данных и не призывает к противоправным действиям. Написание этой статьи — вынужденная мера.

Хотя, если уж провайдер прямо говорит что всё нормально, то никаких рисков общедоступное описание работы его сервисов вообще не должно нести.

В чем суть?


Крупный интернет-провайдер Дом.ru перехватывает http-трафик пользователя и, время от времени, переадресует его на свою рекламную страницу вместо целевой. В теле рекламной страницы провайдер передает ссылку для настройки или отписки от рекламных уведомлений, которая ведет на личный кабинет пользователя. Эта ссылка открывает полный доступ к личному кабинету пользователя без ввода логина и пароля и позволяет делать это из любой точки мира. Рекламная страница передается по незашифрованному протоколу http. Это значит, что на любом узле (или даже через врезку) между вами и сервером, отвечающим за выдачу рекламных страниц (info.ertelecom.ru), могла произойти утечка, и неважно что сам личный кабинет после перехода по ссылке работает по https.
Читать дальше →
Всего голосов 48: ↑48 и ↓0 +48
Просмотры 17K
Комментарии 15