montag52
31.08.2015, 19:32
Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.
По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.
Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.
Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».
В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.
Например, ему удалось попасть в систему администрирования доменаmegafon.mobi (http://megafon.mobi/) («МегаФон Почта»), к сборкам приложений с сайта (https://hq-devlabs.megafon.ru/) для разработчиков головного офиса «МегаФона», к скрипту (http://dealer.megafondv.ru/attach/docs/spisok.php) для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs (http://confluence.hflabs.ru/), в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.
Представители «МегаФона» не смогли оперативно ответить на звонки TJ. В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.
Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать (https://yandex.ru/support/widgets/create.xml) виджет для главной страницы.
Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.
пресс-служба «Яндекса»
Как пояснил w0rm, он использовал всё ещё работающий метод (http://uralsg.megafon.ru/WIDGET_INFO/GET_INFO?X_Username=&X_Password=&CHANNEL=WYANDEX&LANG_ID=0&P_RATE_PLAN_POS=1&P_PAYMENT_POS=2&P_ADD_SERV_POS=4&P_DISCOUNT_POS=3)авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик.
В мае 2015 года w0rm опубликовал (https://tjournal.ru/p/sprashivairu-passwords-leak) в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.
В июле 2014 года w0rm взломал (https://tjournal.ru/p/cnet-hacked) сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.
В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.
31.08.15
https://tjournal.ru/p/megafon-w0rm-hack-dump
По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.
Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.
Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».
В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.
Например, ему удалось попасть в систему администрирования доменаmegafon.mobi (http://megafon.mobi/) («МегаФон Почта»), к сборкам приложений с сайта (https://hq-devlabs.megafon.ru/) для разработчиков головного офиса «МегаФона», к скрипту (http://dealer.megafondv.ru/attach/docs/spisok.php) для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs (http://confluence.hflabs.ru/), в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.
Представители «МегаФона» не смогли оперативно ответить на звонки TJ. В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.
Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать (https://yandex.ru/support/widgets/create.xml) виджет для главной страницы.
Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.
пресс-служба «Яндекса»
Как пояснил w0rm, он использовал всё ещё работающий метод (http://uralsg.megafon.ru/WIDGET_INFO/GET_INFO?X_Username=&X_Password=&CHANNEL=WYANDEX&LANG_ID=0&P_RATE_PLAN_POS=1&P_PAYMENT_POS=2&P_ADD_SERV_POS=4&P_DISCOUNT_POS=3)авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик.
В мае 2015 года w0rm опубликовал (https://tjournal.ru/p/sprashivairu-passwords-leak) в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.
В июле 2014 года w0rm взломал (https://tjournal.ru/p/cnet-hacked) сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.
В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.
31.08.15
https://tjournal.ru/p/megafon-w0rm-hack-dump