PDA

Просмотр полной версии : Хакер получил доступ к служебным данным и сайтам «МегаФона»


montag52
31.08.2015, 19:32
Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.

По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.

Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.

Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».

В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.

Например, ему удалось попасть в систему администрирования доменаmegafon.mobi (http://megafon.mobi/) («МегаФон Почта»), к сборкам приложений с сайта (https://hq-devlabs.megafon.ru/) для разработчиков головного офиса «МегаФона», к скрипту (http://dealer.megafondv.ru/attach/docs/spisok.php) для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs (http://confluence.hflabs.ru/), в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.

Представители «МегаФона» не смогли оперативно ответить на звонки TJ. В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.

Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать (https://yandex.ru/support/widgets/create.xml) виджет для главной страницы.

Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.

пресс-служба «Яндекса»

Как пояснил w0rm, он использовал всё ещё работающий метод (http://uralsg.megafon.ru/WIDGET_INFO/GET_INFO?X_Username=&X_Password=&CHANNEL=WYANDEX&LANG_ID=0&P_RATE_PLAN_POS=1&P_PAYMENT_POS=2&P_ADD_SERV_POS=4&P_DISCOUNT_POS=3)авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик.

В мае 2015 года w0rm опубликовал (https://tjournal.ru/p/sprashivairu-passwords-leak) в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.

В июле 2014 года w0rm взломал (https://tjournal.ru/p/cnet-hacked) сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.

В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.

31.08.15

https://tjournal.ru/p/megafon-w0rm-hack-dump​

hahanovB
31.08.2015, 21:30
Где это я видел? Тут (https://antichat.live/threads/429234/)

OxoTnik
31.08.2015, 21:59
чё то такое я с местными делал с МТС несколько лет назад, но у нас + был шелл..

w0rm_
31.08.2015, 22:41
Прикольно.

Take_IT
01.09.2015, 01:23
↑ (https://antichat.live/posts/3886257/)
чё то такое я с местными делал с МТС несколько лет назад, но у нас + был шелл..


шелл на мтс?? а кто пи*дит тот кто??

OxoTnik
01.09.2015, 02:16
↑ (https://antichat.live/posts/3886313/)
шелл на мтс?? а кто пи*дит тот кто??


ставка?

MaxFast
01.09.2015, 02:36
↑ (https://antichat.live/posts/3886321/)
ставка?


Ставлю шелл на билайне.

Take_IT
01.09.2015, 08:35
↑ (https://antichat.live/posts/3886321/)
ставка?


косарь деревянных ставлю, играем? скрин не пруф.

Rebz
01.09.2015, 13:24
↑ (https://antichat.live/posts/3886274/)
Прикольно.


никто не оценил

w0rm_
01.09.2015, 13:27
↑ (https://antichat.live/posts/3886406/)
никто не оценил


Отдам пост с детальным отчетом и плюшками хабру за это.

Rebz
01.09.2015, 13:54
↑ (https://antichat.live/posts/3886409/)
Отдам пост с детальным отчетом и плюшками хабру за это.


дождался бы официальной реакции Мегафона, может адекватные ребята (хотя странно что молчат как партизаны).

w0rm_
01.09.2015, 14:10
↑ (https://antichat.live/posts/3886418/)
дождался бы официальной реакции Мегафона, может адекватные ребята (хотя странно что молчат как партизаны).


Все в порядке, уже все вышли на связь обговариваем возможность сотрудничества.

winstrool
01.09.2015, 14:13
w0rm_ aka e17 Так то хороший подход, помнется ты еще http://www.adobe.com/ ломал)) хороший специалист, но с характером, импульсивный...

dondy
01.09.2015, 15:25
приятно находиться на этом форуме с такими профессионалами

Art!P
01.09.2015, 21:15
вас всех всех беспечных скоро посадят. И по делом будет. Меньше будете п*здеть =)

user100
01.09.2015, 22:47
Про подобные дыры в ЛК Мегафона на хабре еще в 2013 писали:

1. http://habrahabr.ru/post/175939/ (http://[URL='http://habrahabr.ru/post/264849/)

2. http://habrahabr.ru/post/264849/

3. http://habrahabr.ru/post/205594/

А воз видать и ныне там...

MaxFast
02.09.2015, 14:26
Верни мою тысячу, w0rm.

Улыбайся
07.09.2015, 00:35
Раз упомянули в статье базу Спрашивай.ру, где ее скачать бы?

Turanchocks_
07.09.2015, 06:20
w0rm - злыдень.Опасный поцик.

Turanchocks_
07.09.2015, 10:10
«То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».


Очень грубо говоря.Щас этого администриллу линчуут.

b3
18.02.2019, 20:43
знаю человека уже лет 10+, можно разбанить?

xmp
18.02.2019, 21:10
Лучше ресетните пасс для /members/225099/ (https://antichat.live/members/225099/)

или вообще самый первый акк. Спасибо.

user100
18.02.2019, 21:16
↑ (https://antichat.live/posts/4286410/)
знаю человека уже лет 10+, можно разбанить?




↑ (https://antichat.live/posts/4286424/)
Лучше ресетните пасс для
/members/225099/ (https://antichat.live/members/225099/)
или вообще самый первый акк. Спасибо.


Это вы про него?

https://kolyakidala.tumblr.com/

xmp
18.02.2019, 21:25
Это же троллинг был, не?

b3
18.02.2019, 21:31
спасибо, поржал)) но тем не менее лучше пусть он будет тут под своим ником и маркером "с черным прошлым" чем вот эти 25 аккаунтов)

xmp
18.02.2019, 21:34
↑ (https://antichat.live/posts/4286437/)
спасибо, поржал)) но тем не менее лучше пусть он будет тут под своим ником и маркером "с черным прошлым" чем вот эти 25 аккаунтов)


Сами не знают что цитируют

b3
18.02.2019, 21:39
2001-2027 Antichat Kft.

как думаете что скрывается под этим?

user100
18.02.2019, 21:46
↑ (https://antichat.live/posts/4286438/)
Сами не знают что цитируют


Как бэ можно и отсюда цитировать:

https://xss.is/threads/25429/

Или отсюда:

https://crdclub.ws/showthread.php?p=40507

Там же и на эксплойт.ин ссылки

Как говорится, скажи мне кто твой друг...

xmp
18.02.2019, 21:49
user100, говорить того чего не знаешь не нужно. Если у тебя есть со мной какой-то не закрытый фин вопрос - готов его закрыть. Как и перед любым у кого есть для этого основания. Терзание izg0y-я на тему моего отношения к его площадке которая переросла в эти сообщения, которой кстати уже не существует, уже не имеют ни какого значения.

Так что раздутая хермитом и компанией тема с целью пиара:

Автор не я. Материал с coru.ws, размещение согласовано с овнером.

В которой к слову приписали 3-5 невиновных человек, и пачку придуманых ради смеха фактов, cебя я считаю исчерпала.

user100
18.02.2019, 22:15
↑ (https://antichat.live/posts/4286442/)




2001-2027 Antichat Kft.


как думаете что скрывается под этим?


Обрати внимание на даты на пикче и поймешь

/threads/457310/page-7#post-4232768 (https://antichat.live/threads/457310/page-7/)