Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов

На один из наших корпоративных сотовых телефонов была совершена почти успешная хакерская атака. К счастью, довольно быстро удалось разобраться откуда «растут ноги». Мы обнаружили очередную «дыру» в защите Мегафона, чем с вами и делимся. Она касается всех абонентов сети. Несколько дней назад я сообщил в абонентскую службу о «дыре» на сайте Мегафона. На момент 08.04.2013 уязвимость не исправили. Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома. Итак, у Мегафона есть нужная и полезная вещь — СервисГид. В нем можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас». И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует. Всё бы хорошо, но капча вредит юзабилити сайта. Дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:0e323246d3b9e9e7ad129279d02b1dc9.png Но пара логин-пароль для входа используется та же, что и для СервисГида. СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.Что делали воры?

  1. С помощью этого SMS-сайта подбирают (видимо, простым перебором) пароль от СервисГида, и входят.
  2. Они получают доступ и в СервисГид: к чтению входящих SMS и к их отправке.
  3. Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение).
  4. По подписке приходит SMS с кодом подтверждения.
  5. Вводят этот код на сайте подписки.
  6. Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке.

Обработав так автоматически и массово тысячи телефонов можно заработать неприличные деньги. К чести специалистов оператора сотовой связи стоит отметить, что в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление. В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий. К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор. Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировке. Но если я не успел поменять пароль — кто знает, что бы они учудили. В течение суток дважды приходили коды подтверждения платных подписок. Они продолжают приходить и сейчас.Меры защиты от этой атаки для Мегафона: 1. Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить — ВЫПОЛНЕНО 2. Разрешить использовать латинские буквы в пароле СервисГида 3. Сделать разными пару логин/пароль для СГ и SMS-сайтаМеры защиты для абонентов: 0. Вообще не пользоваться СервисГидом, но если уже начали 1. Поставить более стойкий пароль на СервисГид, например 2. В любом случае сменить пароль от СервисГида 3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, списывание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга «Стоп-контент». Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга. ZERO UPDATE: Полезная ссылка по теме от www.mobile-review.com/articles/2013/ums-podpiski.shtml UPD1: Свежая статья на Хабре «про СервисГид» UPD2: 9 апреля 2013 Мегафон добавил капчу на форму. Основная брешь закрыта! Спасибо сотрудникам Мегафона за довольно оперативную реакцию. UPD3: Ответ Мегафона в комментариях к статье. UPD4: Ещё статья про дырки Мегафона — свежие, ещё не закрыты!UPDATE2015 — дыру не закрыли! Сообщение от хабрачитателя из Волгограда: — уязвимость исправлена, Мегафон молодцы!

megafon-power-on_1000px-900x444.jpg

Исследователь информационной безопасности под ником w0rm объявил о том, что им была успешно проведена хакерская атака на российского оператора мобильной связи «Мегафон». Как утверждает хакер, им был получен доступ к файловой системе нескольких сайтов оператора. Помимо этого, в распоряжении взломщика оказались служебные данные сотрудников компании.

По словам хакера, у него была возможность заполучить доступ и к данным клиентов «Мегафона», но он не стал этого делать, руководствуясь этическими соображениями. Хакером в качестве доказательства представлено несколько скриншотов, которые показывают файловую структуру одного из взломанных сайтов и панель управления доменным именем megafon.mobi.

Взломщик утверждает, что он изменил пароль для входа в свой личный кабинет. В ходе смены пароля выяснилось, что пароль состоит лишь из 6 цифр, а сменить можно только на такой же шестизначный цифровой пароль. Таким образом, пароль, состоящий из 6 цифр, может быть достаточно легко подобран при отсутствии механизмов блокировки от брут-форса. Роль такого механизма на сайте «Мегафона» выполняет каптча.

Эта защита была преодолена с помощью устаревшего виджета «Яндекса», в котором не нужно вводить каптчу. Как сообщил взломщик, достаточно 20-30 минут для того, чтобы, подобрав пароль, получить доступ к произвольному личному кабинету по телефонному номеру абонента и изучить детализацию звонков, SMS, ФИО и данные о платежах.

Такой крупный успех побудил хакера провести аудит некоторых других доменов, которые принадлежат компании. В итоге он смог получить архив с резервной копией системы управления проектами Jira от начала 2015 года. Воспользовавшись учетными данными сотрудников «Мегафона», которые содержались в архиве, хакером был получен доступ к корпоративной почте и некоторым служебным ресурсам.

Представители «Мегафона» заявляют, что никаких фактов успешного проникновения в систему обнаружено не было. Сейчас компания осуществляет дополнительные проверки по фактам сообщений в социальных сетях.

В мае текущего года w0rm уже провел успешную атаку на развлекательный сайт «Спрашивай.ру». Тогда исследователем в общий доступ был размещен архив с паролями пользователей сервиса. До того он осуществил успешные атаки сайтов зарубежных средств массовой информации, таких как The Wall Street Journal и Vice.

UPD (15.05.2017): Компания «Мегафон» стала жертвой нового инцидента, связанного с информационной безопасностью. Российский сотовый оператор наряду с десятками компаний и организаций по всему миру стал жертвой активности шифровальщика Wannacry.

Подробности можно узнать в новом материале от SecureNews.

Читать в TelegramИспользуемые источники:

  • https://habr.com/ru/post/175939/
  • https://securenews.ru/megafon_hacked/

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий