Вычисляем точный адрес любого пользователя по номеру телефона или адресу электронной почты

    С помощью этой инструкции вы сможете без труда вычислить точный адрес (улица, номер дома, номер квартиры) любого человека, который пользуется услугами интернет-провайдера InterZet (или DomRU).

    Предыстория


    8-го декабря 2017-го года была выпущена новая версия приложения для iOS. В ней обновили дизайн, поправили мелкие недоработки и т.д. и т.п. Скачав приложение на телефон, я столкнулся с проблемой: не получалось пройти процедуру аутентификации. Пытался вводить в поле логина и номер договора, и номер телефона, и почту – ничего не помогало, все попытки оканчивались фиаско.

    image

    Проблема наблюдалась только в приложении, сайт же работал (да и работает) безупречно – пускает меня полностью. Сообщение об ошибке не очень-то и информативно. Что же пошло не так?

    Анализ трафика приложения


    Для того, чтобы установить, почему же наш пациент не хочет жить, воспользуемся программой mitmproxy. Она позволит нам посмотреть коммуникацию между приложением и сервером.
    Попробуем аутентифицироваться, чтобы получить запрос клиента и ответ сервера.

    Судя по ответу, передается невалидный timestamp:

    image

    Взглянем на запрос:

    image

    В поле «timestamp$c» передаётся время отправления запроса. Не понимаю, зачем доверять клиенту в таких вопросах?

    Решение проблемы


    Разработчики не учли то, что люди используют разные форматы времени; timestamp формируется неправильно, если стоит 12-и часовой формат (как в моём случае), поэтому запрос не может пройти проверку на сервере. Меняем формат отображения времени в настройках телефона на 24-х часовой и успешно проходим аутентификацию. Отличие запросов лишь в том, что в 24-х часовом формате в timestamp нет AM/PM.

    Корректный запрос выглядит так:

    image

    Вычисляем по номеру телефона или адресу электронной почты

    Во время анализа трафика приложения на этапе аутентификации, я наткнулся на одну весьма интересную недоработку системы. Некорректное поведение функции «восстановить пароль». Она отдаёт очень интересную информацию.

    Запрос выглядит следующим образом:

    image

    Нас интересует параметр "param_values_arr$c".

    • Если в нём передать номер договора пользователя услуг Interzet/DomRU, то мы получим привязанные к договору контактные данные: номер телефона, адрес электронной почты.
    • Если передать в нём номер телефона или адрес электронной почты, то в ответе мы увидим точный адрес пользователя.

    Пример ответа:

    image

    Видим точный адрес своей квартиры, понимаем, что это фиаско, а так же улыбаемся и машем!

    P.S: на сайте всё работает корректно, вроде бы, адрес звездочками закрывают :)

    К слову, судя по ошибкам, которые выдаёт сервер в случае отсутствия пользователя в базе, на сервере включен режим отладки. Не понимаю, зачем?

    <debug>
          <![CDATA[debug$n=24: exception: ORA-20001: debug=2   backtrace: ORA-06512: at "EXCELLENT3.WEBCAB_XML_PROC", line 6264 ORA-06512: at line 1 ORA-06512: at "EXCELLENT3.WEB_CABINET", line 1064 ]]>
          </debug>
    

    Как повторить?

    У каждого города, я подозреваю, своя БД и URL. Ниже приведен пример для города Санкт-Петербург.

    Простой запрос через cURL:

    curl "https://spb.db.ertelecom.ru/cgi-bin/ppo/es_webface/web_cabinet.get_info\
    ?param_names_arr%24c=client_contact\
    &param_values_arr%24c=habr@example.com\
    &params=get_agr_list_contact_xml"

    Меняем habr@example.com на необходимый номер телефона или адрес электронной почты.

    UPDATE: проблема исправлена, теперь адрес закрыт звездочками.

    Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственность за любой возможный вред или ущерб, причиненный материалами данной статьи.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 117
    • +5

      Вы не сообщили провайдеру о уязвимости?

      • +4
        Я бы сказал, что это не уязвимость. Это дыра.
        • +5
          Вероятнее всего, если покопаться, то и у некоторых других провайдеров, особенно мелких, можно найти подобные дыры. Шутка про «вычислю по айпи» выходит на новый уровень.
        • +6
          Сообщил :)
          • –1
            Я так понимаю, что данная статья и есть оповещение, судя по смайлу в конце? )
            • +13
              Нет, я им написал на почту. Так как ответ был в стиле «у нас всё защищено», я посчитал правильным придать огласке. Если обратите внимание на скриншоты, то увидите, что они были сделаны за день до публикации статьи, именно тогда я и уведомил их.
              • –6
                Хм, было бы не плохо прикрепить скрин ответа, на самом деле, иначе не считово ) И как же «золотое правило» — 30 дней до публикации о уязвимости?
                • +31
                  Если ответ «Спасибо исправим, вот вам бонус», то да, 30 дней или по договоренности.
                  А если ответ «Идите в ж***, у нас всё ок!», то смысл ждать 30 дней?
                  • 0
                    Ну пока про это мы знаем лишь со слов автора. При том, судя по его сообщению выше, прошли только сутки с момента нахождения проблемы (час ночи 10 декабря на скринах). Я крайне не уверен, что за один выходной день ему что-либо ответили вменяемое. Вот скрин ответа был бы очень к месту в данном обсуждении.
                    • 0
                      Автор действительно очень поспешил. Получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы.
                      Конечно, ждать так долго, как ждал я (с мая по август — очень похожая ситуация, кстати: Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона) тоже не дело, но один день? Один ответ поддержки? Не разработчиков, не службы безопасности, а просто получив ответ(ы) от службы поддержки?
                      • +15
                        Абсолютно неважно знает сотрудник поддержки о том насколько обстоят дела с безопасностью их системы. Может быть хорошо, а может не очень. Ему это должно быть до лампочки!!! Правильный ответ в этом «Я занес ваши слова в систему, но сейчас выходной день. Лучшие инженеры нашей компании смогут взглянуть на вашу проблему только в понедельник с 11:00». Саппорт не имеет права выносить вердикт «У нас все хорошо». Он не того уровня технарь, чтобы так говорить.

                        Если есть хотя 1 тысячная от 1 % из 100, когда пользователя могут скомпрометировать, то надо СРАЗУ реагировать!
                        • –4
                          И чем ваш ответ отличается от моего?
                          Я же и пишу, что принимать слова саппорта от том, что уязвимости нет, нельзя — нужно, чтобы вопрос был передан ответственным людям.
                          Автор поспешил с публикацией? Поспешил. Нужно было пробовать достучаться дальше? Нужно было.
                          И не кричите, пожалуйста.
                          • +8
                            Автор следует парадигме full disclosure, а не responsible disclosure.
                            • 0
                              Тем, что смысл первого ответа «спасибо, но нам не интересно», а второго " спасибо, мы займёмся этим при первой возможности".
                              • 0
                                Я и не говорил, что «спасибо, но нам не интересно» — это правильный ответ. Я сказал, что получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы. И в статье, которую я привёл в пример, указано, что я пытался доказать значимость аналогичной проблемы несколько раз.
                                • +3
                                  Возникает чувство, будто автор должен быть больше заинтересован в этом вопросе, чем провайдер %)
                                  Если его отшил сапортер — дальше, ИМХО, это уже косяк сапортера. Что вместо «мы займемся» (такой же шаблонный ответ, но подходящий под ситуацию), они прикинулись шлангом и сказали «у нас все ок».
                                  • +2

                                    У вас было упорство и желание сделать мир лучше именно так, как вы сделали. У автора немного по другому.

                                    • 0
                                      Спасибо за такой комментарий.
                      • –1
                        А смысл?
                        Вот я еще полгода где-то в Теле2 написал, что как минимум на некоторых типах смартфонов смс с кодом для доступа к личному кабинету в предпросмотре при залоченном экране как раз позволяют увидеть этот самый код любому.
                        Банально, делаешь предварительный текст на десяток символов больше — и проблемы нет (как от того же сбера приходит)
                        Не, попытки с третьей донести мне написали, что передадут выше, и через несколько месяцев при очередном заходе в личный кабинет я опять ввел код не разблокируя смартфон.
                        • 0

                          Ну, лично мне удобнее когда код виден сразу. Увидел и сразу ввёл, не надо открывать сообщения. В некоторых случаях бывает, что код не в начале и не в конце, а сообщение большое. И его ещё выискивать надо. Но это скорее вопрос моего удобства + редко когда где-то логинюсь, только дома или в офисе. А так с точки зрения безопасности ваш посыл вполне оправдан.

                          • 0
                            Удобство и безопасность редко пересекаются.
                            Так как эта смс типа безопасность — реализация у теле2 конкретно «хреновая».
                            И смысл тогда в этой фикции?
                          • 0

                            А некоторые сознательно выбирают себе такие модели смартфонов, чтобы видеть подобные сообщения без разблокировки. Уж очень часто на каждый чих эти коды присылают, даже если ты не разработчик.тестировщик подобных систем :)


                            Тут я Теле2 поддерживаю — это именно тот сценарий, когда компромисс между удобством и безопасностью отдаётся на откуп пользователю.

                            • –1
                              Эм, всю линейку винфонов брали исключительно потому, что там стандартно отображается n-ое количество первых символов в смс?
                              Или я должен бежать менять платформу телефона на другую, сменив оператора? Серьезно?
                              Как я могу вообще изменить эту ситуацию, если таких настроек нет? Какой откуп пользователю? Не использовать данного оператора, если только, так получается?
                              • +1

                                Если вы брали винфон (и не сдали его назад), значит знали о такой его особенности и были согласны, что начало ваших смс может прочитать любой человек. Это особенности конкретных интерфейсов, а не стандарт де-факто в индустрии.

                                • –2
                                  Писать несколько первых слов начала смски в предпросмотре того, что пришло? Это однозначно страшное дело, надо чтоб пользователь даже номера не видел на экране, пока не разблокирован телефон, видимо по вашему.
                                  И знаете, ни от одной серьезной организации а-ля банки — ничего в начале смс и не пишут, хотя кучей сервисов пользуюсь. А в теле2 — пожалуйста. В индустрии вообще стандартов нет, окститесь, товарищ.
                                • 0
                                  Как я могу вообще изменить эту ситуацию, если таких настроек нет?

                                  В андроиде всё настраивается, не через настройки, так через рут можно сделать всё. Не знаю, что там на виндофоне, но на конкретно моём андроиде 4.1.2 эту функцию можно отключить, что я и сделал.
                                  • +1
                                    В андроиде всё настраивается, не через настройки, так через рут можно сделать всё.
                                    Гениально. Забыли добавить, что а) рут не на всех устройствах можно получить, б) обычные пользователи рут тем более получать не умеют. А так да, это вин, полный фин платформы…
                                    Если что-то гугл запретил делать, используйте рут и левые сборки, норм, чё, безопасность фореве. Кстати, когда на 4.1.2 последние заплатки безопасности вообще приходили? к вопросу про безопасность.
                                    • 0
                                      Могу повторить, что конкретно у меня настройка отображения СМС является штатной возможностью.
                                      Кому надо, тот рут получит.
                                      На заплатки мне плевать, старый андроид не более опасен, чем старые инсталяции других ОС, а я думаю вы помните, что МС много раз кидал с обновлениями, и, в отличии от андроида с его многочисленными кастомами, там ничего иправить нельзя вовсе. А плевать лично мне можно, потому что я знаю, что к чему, будет нужно- поставлю кастом с почти последним андроидом, хотя вряд ли он на моём старичке SGS2 будет работать быстро, ну да мало ли.
                              • +1
                                Странная какая-то претензия. Если смартфон позволяет читать приходящие сообщения без разблокировки, то это проблема смартфона, а не Теле2. И предложенный способ решения тоже странный. То, что на вашем смартфоне достаточно добавить 10 символов, вовсе не означает, что это поможет всем. У меня, например, приходящее сообщение прокручивается в статусной строке полностью, так что никакое количество символов не поможет (правда, в заблокированном состоянии ничего не показывает).
                                • 0
                                  Он не позволяет читать всё сообщение без разблокировки.
                                  Он показывает лишь небольшую часть сообщения, что удобно понимать очередной рекламный спам тебе тот же теле 2, мегафон, банк и прочие прислали, или это напоминание о пополнении баланса, благая весть о начислении зарплаты, срочное сообщение от коллег.
                                  А так как уже отвечал предыдущему — стандартов в отрасли нет и каждый делает что хочет, глупо не учитывать такие вещи.
                                  Почему то у прочих контор обычно еще много текста «никому не говорите этот код» и все норм. И подобное я видел не только на винфонах, но так как на постоянке не использую прочие ОС утверждать про них не могу.
                                  В любом случае мне нравится подход всех выше ответивших «это не баг, это фича», после которого удивляться происходящему в том же ЭР-телекоме не приходится — там абсолютно такие же люди работают. «Это фича!»
                                  • 0
                                    Вы поставили телегу перед лошадью. Иначе говоря, спросили «как?» до вопроса «зачем?».
                                    А здесь вопрос именно в «зачем». Зачем портить удобную функцию предпросмотра СМС? У меня всегда сообщение прокручивается в статусной строке и я успеваю увидеть и ввести код, мне не требуется делать лишние движения. Зачем портить эту удобную функцию?
                                    • 0
                                      Окей, зачем тогда нужна мнимая безопасность и двухфакторная аутентификация?
                                      Итак, любой человек, получивший физический доступ к вашему залакированному телефону и зная его номер (то есть на работе, например) может получить доступ в ваш личный кабинет. Удобно, и правда.
                                      И да, банки, операторы и подобные должны делать — безопасно. Удобство стоять должно на втором месте. Все остальное — это профанация и суррогаты.
                                      • 0
                                        Вот как раз для защиты от этого были придуманы пароли...
                                        • 0
                                          Пароль на что?
                                          В личном кабинете теле2 по умолчанию нет паролей. Там указываешь номер телефона и ждешь либо всплывающего окошечка на разблокированном телефоне, либо одноразовый пароль смс-кой, если почему-то не получилось первым способом.
                                          Смс-ка считывается без разблокировки телефона.
                                          Безопасность такая безопасность…
                                          • 0
                                            Вот с этого и надо было начинать, что там этот самый код — единственный фактор.
                                            • 0
                                              Уточню, что это по умолчанию единственный. Потом таки можно поставить пароль, но этого никто не требует, а значит по умолчанию никто особо и не поставит.

                                              Да, надо было написать, что кроме ответа на запрос от оператора или кода из смс больше ничего не требуют от тебя, однако надо понимать, что если на запрос от оператора ты можешь ввести единичку только на разблокированном телефоне, то этот вариант был бы терпим (на самом деле — нет, но это другой вопрос), а значит я на этом упор не сделал в рассуждениях.

                                              Плюс проблему вызвало именно то, что после того, как оператор не дожидается ответа на запрос — он шлет смс с кодом доступа, который по умолчанию на большинстве телефонов виден всем, вместо того, чтоб затребовать отправить USSD запрос с какими-нибудь * и #.
                                              И то с моей точки зрения, на винфонах это было бы безопасно по-умолчанию, если бы текст СМС был бы длиннее и код не светился.
                                              Как на других ОС мне в тот момент было а) не известно б) все равно (и то, что там светится либо все, либо ничего — по мне это как раз таки проигрыш в UI других ОС). Итого, подозреваю что у многих даже на хабре именно этот оператор, но о том, что данная схема ни в одном месте не безопасна — не задумывался, видимо, никто.

                                              С другой стороны, а где я писал, что этот код не единственный? Почему-то все посчитали по-умолчанию, что там есть еще что-то. И никто, кроме Вас, не написал про то, что защиту дает пароль, а смс-ка с кодом лишь добавочная подстраховка. Все сразу начали защищать идеальную схему в их голове, не уточняя насколько она соотносится с реальностью и ни разу не видя в глаза, видимо, этого самого кабинета.

                                              PS. Более того, теле2 недавно вроде как опять сменили личный кабинет и судя по тому, что в новостях было написано для входа в новый кабинет выбирайте вариант «без пароля» — при этом, видимо, сбросили все настройки безопасности профилей. Что отдельно доставляет…
                                        • 0

                                          Неудобным способом никто пользоваться не будет без крайней необходимости.


                                          А если вы решили использовать телефон в качестве фактора аутентификации, то должны позаботиться о его физической защите — это ваше решение и ваша отвественность.

                                          • 0
                                            Еще один человек, который даже не задумывается над тем, что читает.
                                            Я не решал, за меня так решил оператор Теле2, вы это понимаете или нет? Выше даже я расписал пошагово, как это происходит. Я даже не понимаю, как еще нужно это написать, чтоб дошло, вроде и так уж как для тупых расписал. Но если вы не хотите даже задумываться, то чего требовать от тех же программистов Эр-телекома и удивляться существованию подобных дыр. Там люди тоже не хотят думать, как и вы.
                                            • 0

                                              Нет, это вы решили, купив телефон, который не скрывает части уведомлений при блокировке, прекрасно зная, что в них может содержаться конфиденциальная информация. Мой вот позволяет настраивать показывать уведомления при блокировке, не показывать вообще, или показывать, но скрывая конфиденциальную информацию.


                                              В конце концов вы можете вообще отключить уведомления о смс. Или не можете?

                                              • +1
                                                Нет, это вы решили, купив телефон, который не скрывает части уведомлений при блокировке, прекрасно зная, что в них может содержаться конфиденциальная информация.
                                                Как синхронно упала карма с появлением вашего ответа. Совпадение, явно же.
                                                Еще раз, почему-то все прочие сервисы (стим, яндекс.деньги, несколько банков, ржд и прочие) присылают СМС, которые не отображают коды в частичном предпросмотре.
                                                И когда я покупал оба телефона, не было никакой инфы о том, что оно есть так, если уж на то пошло. Или вы, когда покупали процессор тоже знали об уязвимости последней, например? У нас ясновидящий в треде? Который знает какое обновление ОС что изменит в будущем? Какое решение создатель любого сайта придумает еще через пару лет? Какую уязвимость вскроют через месяц после совершения действия? Нет? Тогда вы несете полную чушь, что пользователь может знать все нюансы особенно на новых платформах. Более того, когда я покупал тот же андроид из первых от асусов, я тоже не предполагал, что поддержка его на данном гаджете закончится раньше, чем их перестанут продавать в магазинах, однако ж здравствуйте, перестали даже не запилив последний апдейт в ветке 4.1.х, а альтернативные версии имели ущербный функционал. Но я ж это тоже возможно должен был знать заранее? Градус неадекватности абсурдности аргументов то перестаньте повышать?

                                                Более того, когда я пользовался другим оператором — подобных факапов тоже не было. Видимо там люди предпочитают думать. В отличие от Вас.
                                                Но знаете, эта ваша упертость как и минусы в карму, очень хорошо вас характеризуют.

                                                Так же, по вашему, видимо, не является багом то, что сири посылала смски о списании с банковского счета денег в мобильных банках, да? Да что угодно можно тогда выводить из списков багов оправдываясь тем, что пользователь сам должен хранить телефон в сейфе и прочие абсурдные с точки зрения безопасности утверждения. Ах да, и процессорами интел не должен был пользоваться заранее.
                                                А по факту, куча сервисов, которые присылают смс для доступа к личным кабинетам имеют вменяемую длину смс и такой проблемы не возникает. И лишь Теле2, которые по умолчанию логинятся в кабинет без пароля — спокойненко высылают смс-ки, которые видны на неразблокированных телефонах, чей номер и есть логин кабинета. Это же явно проработанный подход к безопасности, угу.
                                                Но впрочем, пофиг. Мне по жизни надоело подобным «программистам» доказывать что очередная «фича» — это идиотизм, когда только после десятка писем и обращение уже на следующий уровень вдруг программистами признавалось это багом и правилось. Чтоб еще бесполезно спорить с человеком, который выдумал какую-то утопию в своих мечтах и от реальности отмахивается.
                                                • 0

                                                  Совпадение, да. Хотя вы, похоже, на грани перехода на личности и оскорбления. Видимо, кто-то посчитал, что вы эту грань уже перешли. А может кому-то надоело уведомления о нашем диалоге. Тогда и мне карму значит минусанули.


                                                  Насчёт всех остальных сервисов — видимо у вас такая выборка. У меня другая, скорее наоборот претензии к нескольким сервисам, которые заставляют разблокировать телефон, хотя я его специально выбирал, чтобы читать короткие сообщения без разблокировки. Основной банк, слава богу, подобным не страдает. О возможности скрывать уведомления на заблокированном телефоне или скрывать в них персональную информацию узнал только в ходе диалога.


                                                  Насчёт ясновидения — всего знать никто не может, но если вы знаете, но продолжаете пользоваться, то это ваш выбор, как мой — продолжать пользоваться процессором с уязвимостью. У вас минимум две опции — сменить оператора или сменить телефон, а может просто в настройках или альтернативных прошивках покопаться.


                                                  А по моему опыту разработки систем с публичной веб-мордой, отсылающих смс-сообщения пользователям, текст этих сообщений формулирует бизнес, а не программисты. Программистам, с одной стороны, всё равно какой шаблончик прописать, а с другой сами не имеют права менять, если даже захотят или увидят явную опечатку — вдруг это маркетинговый ход? А нередко вообще шаблончик лежит где-то в базе и меняет его бизнес в админке, а программисты и не знают какой конкретно сейчас используется.

                                                  • 0
                                                    1) теле2 недавно сменили личный кабинет, сбросив настройки безопасности. Без уведомлений пользователей в тех же смсках.
                                                    Прям так и написав в новостях: для входа в новый кабинет выбирайте вариант «без пароля».
                                                    За года полтора это уже третий кабинет, если мне не изменяет память. Вы каждый месяц свой ЛК заходите проверить не сменили ли его и не сбросили ли ваши пароли? Сомневаюсь.

                                                    2) Андроид имеет два варианта — либо отображать полный текст (бегущей строкой) по умолчанию, либо не отображать вовсе. В итоге для обычного пользователя винфоны на голову секьюрнее, ибо там полностью не отображается текст длинных. Так как кроме нескольких процентов гиков, параноиков и любителей шапочек из фольги этого никто делать не будет (см комментарий выше от ITшника про то, что человеку удобно считывать коды без разблокирования телефона).

                                                    3) Мегафон, например, для доступа в личный кабинет требует USSD запрос, по которому высылает пароль. То есть по факту получить доступ к детализации, изменению тарифа и прочей информации в личном кабинете без разбокировки телефона или угона пароля через какой-нибудь кейлогер не получится.
                                                    Это — подход на безопасность.

                                                    4) Программисты не имеют возможности контролировать, но могут потребовать в шаблоне зашить не менее стольких то символов до кода. Еще хуже, что пользователь Теле2 в принципе не понимает, что за смс ему приходит: «Ваш код: ХХХХХ». Всё. Какой код, для чего код, зачем код?
                                                    Пользователь даже не поймет ничего, когда вернется к телефону, как и то, что нужно что-то делать.

                                                    Рассчитывать, что все пользователи сразу побегут на сайт в личный кабинет, поставят пароль (который никто не требует), запретят отображаться ВСЕМ смскам (то есть потерять удобство использование в угоду безопасности), а так же не будут спускать глаз или выпускать телефон из рук — это не безопасность, это халтура. И оправдывать оператора этими аргументами — поддерживать халтуру. Ровно того же плана, как допустили программисты эр-телекома в статье. Ибо они тоже явно не рассчитывали, что кто-то будет ломать их протокол и стараться получить чужие данные.
                                                    Очень надеюсь, что все банки, с которыми вы работаете, перейдут на такой способ защиты своих онлайнов. С учетом, как регрессируют в угоду удобства программисты, оправдывая «ну результат же мы не видим и вообще это менеджеры решают, а мы кодим, что требуют» — этого не так долго ждать.

                                                    Примеры того, что на незалоченный комп людям ставили обои с темным властелином или рассылали по корпоративной почте что либо от имени пользователя — показатель того, что так могут подшутить и над вами какой-нибудь коллега, даже без наличия конфликтов в коллективе (а при наличии так тем более). Здесь же доступ в ЛК вашего оператора, там же и детализация, если что, лежит. И все такие «да норм, чего ты»

                                                    Если данные моменты нужно разъяснять, как детям, десятку программистов на хабре — это уже нехилый переход на личности по факту.
                                                    Если же в аргументах про то, что лично для себя ты можешь сменить оператора и т.п. — это еще больший факап, так как я говорю об общей уязвимости такого подхода. Об общей, понимаете? Уровня того, что процессор интела уязвим конечно, но для этого нужно выполнить кучу телодвижений и вообще далеко не всем это страшно. Изменит ли от этого суть и глубина уязвимости, что отдельные люди могут не бояться данной уязвимости? Инф.безопасность она не про конкретных людей, она про всю систему.
                                                    В теле2, судя по всему, подход к ней — плачевный.

                                                    PS. На самом деле я даже обманул и обход может быть куда проще и веселее возможен и есть мысль куда копнут на проверку под тот же андроид в ближайшие дни (на знакомых айфонах другой оператор), но, знаете ли, я пока еще надеюсь достучаться до оператора, прежде чем, так сказать.
                                                    • 0
                                                      Хотя с учетом, что колцентр передает данные в «департамент маркетинга» (с), посыл моего исходного сообщения ничерта не меняется:
                                                      Смысла ждать и надеяться, что кто-то среагирует и исправит — никакого. Надо сразу публиковать.
                                                      И пусть они потом с морковкой сзади прыгают.
                          • 0
                            Правильно, а зачем? У них разве есть bug bounty?

                            p.s. Хотя я будь на вашем месте, обязательно бы сообщил, не из за корыстных целей конечно, а из благородности.
                            • 0
                              В смысле? Автор же сразу сообщил.
                            • +3
                              И не надо этим засранцам сообщать — весь подъезд своей рекламой обклеили! Чем скорее они разорятся — тем всем лучше станет
                              • 0
                                ))сейчас к половине придут коллекторы) хех)) изи бризи!)
                            • +11
                              Разработчики не учли то, что люди используют разные форматы времени; timestamp формируется неправильно, если стоит 12-и часовой формат


                              Вообще-то причина не в том, что разработчики чего-то не учли (хотя и в этом тоже, но это уже мелочи), а в том, что они, как и подобает настоящим советским разработчикам, снова изобрели велосипед. ISO 8601 ведь не для них писался, это совершенно очевидно.

                              Ну а зависимость формируемого параметра от локали девайса говорит нам, что опять понабрали студентов по объявлению, чо.
                              • +6
                                Вы думаете только советские студенты этим отличаются? Софт за много-тысяч-баксов зачастую пишут люди, которым на локали кроме [en] глубоко пофиг.
                                • +5
                                  Уточню: «на локали кроме en-US».
                                  Потому что англичане точно так же плюются от кривого софта, для которого 11/12/2007 — это 12-тое ноября, независимо от настроек системы.
                                • +8
                                  как и подобает настоящим советским разработчикам, снова изобрели велосипед

                                  Уверяю, настоящие антисоветские разработчики не менее, чем настоящие советские, склонны изобретать велосипеды.
                                  BTW, настоящим советским разработчикам теперь уж лет по 50+. Почему Вы думаете, что в данном случае работал не хипстер-кодерок с гиктайма?
                                  • –8
                                    «Советские» — это не возраст, это образ мышления. Надо было сказать «савецкие», чтоб дифференцировать от советских, тут я облажался.
                                    • +2
                                      А какова этимология этого нового для меня слова?
                                      • –9
                                        Боюсь, я не смогу дать развернутого квалифицированного ответа, да он будет и не слишком уж уместен в рамках данной дискуссии. Если коротко — «сделаем как быстрее, проще и бог на душу положит, а не так, как надо».
                                        • +3
                                          Это не этимология, а значение. Этимология — происхождение.
                                          • –2
                                            Вы уверены, что, развивая эту тему, мы останемся в рамках темы поста? Ок. Слово «совок» слышали? Вот оттуда корни растут.
                                            • +1
                                              Рамки темы были покинуты одновременно с первым употреблением слова «советские».
                                        • –11
                                          О, минуса попёрли. Интересен возрастной срез минусующих. :)
                                          • +5
                                            Просто вы написали какую-то чушь, а потом начали доказывать, что вы правы, а остальные нет. Возраст тут не при чем.
                                            • –5
                                              Доказывать? Гм.
                                  • +2
                                    timestamp формируется неправильно, если стоит 12-и часовой формат (как в моём случае), поэтому запрос не может пройти проверку на сервере

                                    Это пять fail, товарищи разработчики! А настоящий timestamp чем не подошел?
                                    • +3
                                      Вопрос из категории «Хочу всё знать»: А для чего вообще нужна проверка timestamp?
                                      • 0
                                        Да она вообще не нужна скорее всего. Чисто для статистики. Но верификация корректности фейлится и запрос отклоняется.
                                        • 0
                                          Может быть, чтобы игнорировать дублирующиеся запросы.

                                          Например, если мы пишем мессенджер, то будет нехорошо, если при работе с нестабильной сетью сообщения будут просто теряться, поэтому добавляем в мобильное приложение автоматическую переотправку сообщения, пока не получим ответ «все ок, опубликовано». Но что если потерялся именно этот ответ сервера? Тогда телефон попробует снова, и будет отправлено две копии сообщения. Поэтому телефону стоит добавлять в сообщение некий id, и сервер будет игнорировать сообщения с одинаковым id. В качестве такого id подойдет локальный timestamp.

                                          Хотя не очень понятно, чем именно в их случае сильно мешают дублирующиеся запросы.
                                          • +1
                                            Все-таки для id в таком случае надежнее какой-то UUID использовать, таймстампы, вообще говоря, не гарантируют уникальность.
                                        • 0
                                          Интересно, они его к UTC приводят или локальное время используют? :)
                                          • +2

                                            Вы ещё спросите, системное ли время берется, или с доверенного ntp-сервера!

                                            • 0
                                              Воздержусь, пожалуй.
                                        • +8
                                          Интересно, имеет ли какую-то юридическую силу дисклеймер в стиле «я не несу ответственность за выложенное». Ставлю на то, что он является ничтожным, но хотелось бы услышать комментарий знающего человека.
                                          • 0
                                            А почему автор должен нести какую-то ответственность, если он не извлекал из этого никакой выгоды. Он придал проблему огласке, пусть правят. Ответственность проявляется лишь в том случае, когда есть видимое злоупотребление подобным абузом.
                                            • +4
                                              Неправомерный доступ к информации является нарушением закона по cтатье УК 272. Наличие выгоды — не обязательное, а отягощающее обстоятельство.
                                              • +2
                                                Если он запрашивал только свой адрес, то доступ теоретически может быть правомерным, ведь в личном кабинете это и так видно.
                                                • +1
                                                  Да, запрашивал только свой адрес :)
                                                  Можно ли это считать неправомерным доступом к информации?
                                            • +7
                                              согласно соглашению Пользователя с Хабром весь контент, выложенный пользователями принадлежит Хабру. По лицензии, которая позволяет изменять контент и использовать так, как только можно.

                                              Поэтому, по сути, ответственность за это несет Хабр =)
                                            • +4

                                              Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?

                                              • +1
                                                Не совсем пятницу, скрины от 10.12.17 (это воскресенье), а обновление агента, с которого все началось вышло в пятницу. (все со «слов автора»)
                                              • 0

                                                Возможно, вы просто залогинены в ЛК?
                                                • +1
                                                  Аналогичная ситуация. Выдаёт город, первую букву улицы, номер квартиры и подъезд. Но количество звёздочек к скрытым символам, похоже, соответствует один к одному. Т.е. если подумать, то можно, например, легко определить улицу и сколько цифр в номере дома, что уже даёт некое сужение информации об адресе.
                                                  Мне, как клиенту, конечно, хотелось бы, чтобы не выводило вообще ничего.
                                                  • +1
                                                    Исправили проблему. Оперативненько :)
                                                    • 0
                                                      неа, все равно все видно
                                                      • 0
                                                        То ли лыжи, то ли я… У меня звездочки, проверил со своего подключения и с пары проксей… Скрин ответа есть?
                                                  • 0
                                                    И вроде бы — организация хранит паспортные данные, ФИО, номер телефона, адрес проживания (не всегда совпадает с местом прописки), а значит должны соблюдать ФЗ 152.
                                                    А тут оператор допускает раскрытие персональных данных неопределенному кругу лиц.

                                                    Также не понимаю — зачем провайдерам в личном кабинете пользователя указывать паспортные данные абонента, ведь ФИО должно быть достаточно, ну храните паспортные данные у себя в недоступной публично БД, свои паспортные данные я и сам прекрасно знаю.
                                                    • 0
                                                      Для подтверждения различных действий по телефону — подключение услуг, смена тарифа и т.п. Есть исключения в процессах, в некоторых случаях это не требуется, но при любых сомнениях с вас требуют ПД для идентификации и подтверждения.
                                                      • 0

                                                        Зачем их отображать и/или отдавать по публичному API? Более того, такое отображение сильно снижает защищенность в случае, если у злоумышленника есть доступ к ЛК, и он хочет произвести какую-то манипуляцию.

                                                        • 0
                                                          Я прошу прощения. Утром, пока мозг не проснулся, ваш комментарий прочитался совсем под другим соусом, конечно вы правы. Кстати именно паспортные данные у меня в ЛК никогда не отображались, только ФИО владельца договора, сам договор и адрес. Провайдер как раз дом.ру
                                                    • 0
                                                      теперь фраза «я тебя по email вычислю» резко перестала вызывать улыбку
                                                      • –3
                                                        Ничего себе дырочка, требуй награды.
                                                        • +1
                                                          Закрыто звездочками уже
                                                          • 0
                                                            У меня уже фикс…
                                                            По телефону не вижу номера, и адрес звездочками)))
                                                            • 0
                                                              Уязвимость/дыра — не суть важно. Да, серьезно. Да, из-за глупости при разработке.
                                                              Вопрос в том, пытались ли вы до публикации связаться с провайдерами, у которых присутствует данная уязвимость?
                                                              Proof of work до закрытия уязвимости без bug report — спорное действие.
                                                              • +3
                                                                Когда-то давно интерзет был норм, пока его не купил дом.ру. Перешел тогда с них на другого провайдера, воткнув его вторым аплинком. Интерзету платить перестал и стал ждать, когда же отключат. Как итог, я уже несколько лет абонент-призрак, личного кабинета нету, однако порт активен и доступна вся интерзетовская локалка. Могу много еще плохого написать про дом.ру, но суть в том, что хуже только ростелеком.
                                                                • 0
                                                                  есть в локалке что то интересное чего нет в нете?
                                                                  • 0
                                                                    dc++ вроде был когда-то, а так знакомая через меня в инет ходила, когда забыла заплатить.
                                                                  • 0
                                                                    аналогично) сижу на шнурке призраке))
                                                                  • +6
                                                                    image

                                                                    Можно побаловаться…
                                                                    • 0
                                                                      надеюсь, через ТОР?
                                                                      • 0
                                                                        да я просто так собрал, уже в тех поддержку обратисля тоже, криво звездочками закрыли и нет защиты от перебора
                                                                        • –2
                                                                          generator2015.esy.es

                                                                          Если кто хочет пощупать дыру)) номер вводите и город ))можете еще предел))
                                                                      • +3
                                                                        Эта проблема у эртелекома была еще лет 10 назад когда я там работал, демонстрировал эту дыру(и еще несколько) начальству, но оказывается что а воз и ныне там.
                                                                        Кстати странно что все еще все идет через ppo, это самописная утилита мост между вебсервером и ораклом, для вызовов через веб методов пакетов по url-у /пакет/функция. За 10 лет ничего не изменилось балин.
                                                                        • 0
                                                                          ppo гораздо больше 10 лет. :)
                                                                        • 0
                                                                          image
                                                                          • 0
                                                                            А можно узнать, чем вы смотрите https-трафик мобилки на десктопе?
                                                                          • 0
                                                                            Домру хранит пароли в открытом виде, без соли и без хеша.
                                                                            На мой запрос — почему? сказали что они лучше знают как хранить пароли и мол так все делают.
                                                                            • +3
                                                                              В 2007 лично писал хэширование паролей, не знаю как сейчас, но тогда пароли не хранились. А учитывая что работает еще старый движок биллинга то с трудом верю в это.
                                                                              И вопрос — а откуда вы знаете как он хранится внутри? Кто вам дал такой ответ за запрос?
                                                                              • 0
                                                                                Мне мой пароль продиктовали в тех.поддержке, он его видел как обычный текст и мы проверяли совпадает он или нет. Если бы пароль был захеширован — то его никак в обратную сторону бы не вернули в обычный текст. Функция не обратима.

                                                                                + его присылают на телефон СМСкой тоже в открытом виде. Если бы он был захеширован — то пришел бы другой сгенерированный системой пароль.

                                                                                Разве не так?
                                                                                • 0
                                                                                  Если это так то могу сказать только одно — в мое время такого бардака не было.
                                                                                  Есть конечно же подозрение что есть параллельное хранилище зашифрованное для работы суппорта, но это по моему мнению дыра внутри безопасности эртелекома.
                                                                                  • 0
                                                                                    там на самом деле бардак на всех уровнях, начиная с расклейщиков и агентов по подключению. У меня весь подъезд с 1 по 5 этажи расклеили рекламой новых тарифов и условий. причем посадили на клей, заклеили счетчики домовые, щитовые, на стенах, окнах. Дурдом был. Мальчик все валил на менеджеров, мол ему дали стопку — сказали куда хочешь девай, лишь бы было везде. Они от него открещивались, и мол это его инициатива.
                                                                                    В итоге месяц ругался, пригрозил написать заявление коллективное, по факту вандализма. На след.день прибежали с ведерком, тряпочкой, отодрали.
                                                                                    Раньше ругался с ними по поводу качества интернета, сейчас все хорошо с этим.

                                                                                    Еще проблема есть в личном кабинете. Баланс некоректный у них. Списание было на 1-2 мес. вперед. Причем в биллинге списания нет. А на сайте есть. И таких косяков по мелочи набирается снежный ком. Увы, но бардак он везде…
                                                                                  • –1
                                                                                    Да все верно. Суть хеша что он работает только в одну сторону. Т.е. при логине сравнивается хеш логина в базе и вычисленный хеш пароля который дал юзер.
                                                                                    • –1
                                                                                      Кажется у вас бардак в голове) Почитайте как-нибудь как устроены правильные системы проверки пользователей и для чего в базах хранится хэш пароля, хэш логина не нужен совершенно.
                                                                                      • +1

                                                                                        Вообще, в хэшировании логина есть смысл, особенно если логином является иной идентификатор будь то какой-то адрес (мыло, телефон), учётный номер в иной системе (ИНН, СНИЛС) или другой легко персонализируемый идентификатор (номер паспорта, например).

                                                                                    • 0
                                                                                      Кто знает, вдруг они оперативно брутят хеш перед тем как показать его оператору
                                                                                      • 0
                                                                                        Даже если сбрутят, не факт, что не наткнутся на коллизию, то есть пароль может и не совпасть. А брутить современные алгоритмы с большой длинной, где коллизия практически исключена, как-то накладно, даже если у них в подвале припрятан квантовый компьютер на пару сотен кубит.
                                                                                  • 0
                                                                                    Хранит пароли в открытом виде, мне пришла смс восстанолвения, там номер договора и пароль)) изи)
                                                                                  • +2
                                                                                    о, лоховский домру в своем репертуаре))
                                                                                    • 0
                                                                                      Кстати, кто-нибудь знает точное наименования и адрес юр.лица, от имени которого работает Interzet Dom.ru? Три года как отключился от них, а они продолжают названивать по телефону. Не могу найти контакты, куда отправить заявление на запрет обработки ПД.

                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.