Хакер получил доступ к служебным данным и сайтам «МегаФона»

Discussion in 'Мировые новости. Обсуждения.' started by montag52, 31 Aug 2015.

Thread Status:
Not open for further replies.
  1. montag52

    montag52 Member

    Joined:
    12 Aug 2015
    Messages:
    27
    Likes Received:
    12
    Reputations:
    0
    Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.

    По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.

    Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.

    Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».

    В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.

    Например, ему удалось попасть в систему администрирования доменаmegafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs, в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.

    Представители «МегаФона» не смогли оперативно ответить на звонки TJ. В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.

    Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать виджет для главной страницы.

    Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.

    пресс-служба «Яндекса»
    Как пояснил w0rm, он использовал всё ещё работающий методавторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик.

    В мае 2015 года w0rm опубликовал в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.

    В июле 2014 года w0rm взломал сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.

    В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.

     
  2. hahanovB

    hahanovB Active Member

    Joined:
    22 Jul 2013
    Messages:
    264
    Likes Received:
    244
    Reputations:
    2
    Где это я видел? Тут
     
  3. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    чё то такое я с местными делал с МТС несколько лет назад, но у нас + был шелл..
     
    hahanovB and Br@!ns like this.
  4. w0rm_

    w0rm_ Banned

    Joined:
    19 Aug 2015
    Messages:
    11
    Likes Received:
    24
    Reputations:
    8
    Прикольно.
     
    leoDi likes this.
  5. Take_IT

    Take_IT Banned

    Joined:
    11 Mar 2013
    Messages:
    381
    Likes Received:
    162
    Reputations:
    267
    шелл на мтс?? а кто пи*дит тот кто??
     
  6. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    ставка?
     
  7. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Ставлю шелл на билайне.
     
    Take_IT likes this.
  8. Take_IT

    Take_IT Banned

    Joined:
    11 Mar 2013
    Messages:
    381
    Likes Received:
    162
    Reputations:
    267
    косарь деревянных ставлю, играем? скрин не пруф.
     
  9. Rebz

    Rebz Banned

    Joined:
    8 Nov 2004
    Messages:
    4,052
    Likes Received:
    1,534
    Reputations:
    1,128
    никто не оценил :(
     
    equal likes this.
  10. w0rm_

    w0rm_ Banned

    Joined:
    19 Aug 2015
    Messages:
    11
    Likes Received:
    24
    Reputations:
    8
    Отдам пост с детальным отчетом и плюшками хабру за это.
     
  11. Rebz

    Rebz Banned

    Joined:
    8 Nov 2004
    Messages:
    4,052
    Likes Received:
    1,534
    Reputations:
    1,128
    дождался бы официальной реакции Мегафона, может адекватные ребята (хотя странно что молчат как партизаны).
     
  12. w0rm_

    w0rm_ Banned

    Joined:
    19 Aug 2015
    Messages:
    11
    Likes Received:
    24
    Reputations:
    8
    Все в порядке, уже все вышли на связь обговариваем возможность сотрудничества.
     
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    w0rm_ aka e17 Так то хороший подход, помнется ты еще http://www.adobe.com/ ломал)) хороший специалист, но с характером, импульсивный...
     
    _________________________
    #13 winstrool, 1 Sep 2015
    Last edited: 6 Sep 2015
    w0rm_ likes this.
  14. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    приятно находиться на этом форуме с такими профессионалами :)
     
  15. Art!P

    Art!P Elder - Старейшина

    Joined:
    22 Jan 2008
    Messages:
    169
    Likes Received:
    28
    Reputations:
    5
    вас всех всех беспечных скоро посадят. И по делом будет. Меньше будете п*здеть =)
     
  16. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,476
    Reputations:
    377
    _________________________
    #16 user100, 1 Sep 2015
    Last edited: 1 Sep 2015
  17. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    Верни мою тысячу, w0rm. :D
     
  18. Улыбайся

    Joined:
    23 Oct 2011
    Messages:
    71
    Likes Received:
    7
    Reputations:
    3
    Раз упомянули в статье базу Спрашивай.ру, где ее скачать бы?
     
  19. Turanchocks_

    Turanchocks_ Elder - Старейшина

    Joined:
    11 May 2013
    Messages:
    1,326
    Likes Received:
    3,283
    Reputations:
    17
    w0rm - злыдень.Опасный поцик.
     
  20. Turanchocks_

    Turanchocks_ Elder - Старейшина

    Joined:
    11 May 2013
    Messages:
    1,326
    Likes Received:
    3,283
    Reputations:
    17
    Очень грубо говоря.Щас этого администриллу линчуут.
     
Loading...
Thread Status:
Not open for further replies.