Хакер получил доступ к служебным данным и сайтам «МегаФона»

Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.

По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.

Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.

Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».

В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.

Например, ему удалось попасть в систему администрирования доменаmegafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs, в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.

Представители «МегаФона» не смогли оперативно ответить на звонки TJ. В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.

Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать виджет для главной страницы.

Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.

пресс-служба «Яндекса»
Как пояснил w0rm, он использовал всё ещё работающий методавторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик.

В мае 2015 года w0rm опубликовал в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.

В июле 2014 года w0rm взломал сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.

В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.

31.08.15
https://tjournal.ru/p/megafon-w0rm-hack-dump​

 

Где это я видел? Тут

 

чё то такое я с местными делал с МТС несколько лет назад, но у нас + был шелл..

 

Прикольно.

 

шелл на мтс?? а кто пи*дит тот кто??

 

ставка?

 

Ставлю шелл на билайне.

 

косарь деревянных ставлю, играем? скрин не пруф.

 

никто не оценил

 

Отдам пост с детальным отчетом и плюшками хабру за это.

 

дождался бы официальной реакции Мегафона, может адекватные ребята (хотя странно что молчат как партизаны).

 

Все в порядке, уже все вышли на связь обговариваем возможность сотрудничества.

 

w0rm_ aka e17 Так то хороший подход, помнется ты еще http://www.adobe.com/ ломал)) хороший специалист, но с характером, импульсивный...

 

приятно находиться на этом форуме с такими профессионалами

 

вас всех всех беспечных скоро посадят. И по делом будет. Меньше будете п*здеть =)

 

Про подобные дыры в ЛК Мегафона на хабре еще в 2013 писали:
1. http://habrahabr.ru/post/175939/
2. http://habrahabr.ru/post/264849/
3. http://habrahabr.ru/post/205594/
А воз видать и ныне там...

 

Верни мою тысячу, w0rm.

 

Раз упомянули в статье базу Спрашивай.ру, где ее скачать бы?

 

w0rm - злыдень.Опасный поцик.

 

Очень грубо говоря.Щас этого администриллу линчуут.