Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов. Как взломать мегафон личный кабинет


Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов / Хабр

На один из наших корпоративных сотовых телефонов была совершена почти успешная хакерская атака. К счастью, довольно быстро удалось разобраться откуда «растут ноги». Мы обнаружили очередную «дыру» в защите Мегафона, чем с вами и делимся. Она касается всех абонентов сети.

Несколько дней назад я сообщил в абонентскую службу о «дыре» на сайте Мегафона. На момент 08.04.2013 уязвимость не исправили.

Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома.

Итак, у Мегафона есть нужная и полезная вещь — СервисГид. В нем можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас». И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует.

Всё бы хорошо, но капча вредит юзабилити сайта. Дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:

Но пара логин-пароль для входа используется та же, что и для СервисГида. СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.

Что делали воры?

  1. С помощью этого SMS-сайта подбирают (видимо, простым перебором) пароль от СервисГида, и входят.
  2. Они получают доступ и в СервисГид: к чтению входящих SMS и к их отправке.
  3. Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение).
  4. По подписке приходит SMS с кодом подтверждения.
  5. Вводят этот код на сайте подписки.
  6. Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке.
Обработав так автоматически и массово тысячи телефонов можно заработать неприличные деньги.

К чести специалистов оператора сотовой связи стоит отметить, что в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление.

В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий. К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор. Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировке. Но если я не успел поменять пароль — кто знает, что бы они учудили.

В течение суток дважды приходили коды подтверждения платных подписок. Они продолжают приходить и сейчас.

Меры защиты от этой атаки для Мегафона:

1. Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить — ВЫПОЛНЕНО 2. Разрешить использовать латинские буквы в пароле СервисГида 3. Сделать разными пару логин/пароль для СГ и SMS-сайта

Меры защиты для абонентов:

0. Вообще не пользоваться СервисГидом, но если уже начали 1. Поставить более стойкий пароль на СервисГид, например 2. В любом случае сменить пароль от СервисГида 3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, списывание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга "Стоп-контент".

Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга.

ZERO UPDATE: Полезная ссылка по теме от KiiA www.mobile-review.com/articles/2013/ums-podpiski.shtml UPD1: Свежая статья на Хабре "про СервисГид" UPD2: 9 апреля 2013 Мегафон добавил капчу на форму. Основная брешь закрыта! Спасибо сотрудникам Мегафона за довольно оперативную реакцию. UPD3: Ответ Мегафона в комментариях к статье. UPD4: Ещё статья про дырки Мегафона — свежие, ещё не закрыты!

UPDATE2015 — дыру не закрыли! Сообщение от хабрачитателя из Волгограда:

Капча есть, но она ничего не защищает. Если ввести неверный логин-пароль и любую капчу, то мы увидим сообщение «не верный логин/пароль». А если мы напишем правильный логин-пароль и любую капчу, то увидим «не верная капча». Таким образом, можно бесконечно по прежнему брутить форму. А капча понадобится только при залогивании. Для брута капча не помеха, можно писать 1111 в поле капчи всегда и нормально брутить. — уязвимость исправлена, Мегафон молодцы!

habr.com

Мегафон личный кабинет - вход по номеру телефона без пароля и логина на официальный сайт lk megafon ru

Мегафон «личный кабинет» – вход по номеру телефона без пароля и логина, один из способов доступа к WEB-интерфейсу с удобным управлением балансом лицевого счёта и списком подключенных услуг. Оператор мобильной связи Мегафон выделяется наличием адаптированного решения, позволяющего использовать интерфейс не только в браузере, но и на Android и iOS устройствах.

личный кабинет мегафон вход по номеру телефона

Простое получение доступа к системе, бесплатность и мощный функционал – удачная попытка организации единой экосистемы для абонентов. Решение появилось параллельно с разработками других конкурирующих операторов и предлагает:

  • контроль баланса с возможностью настройки оповещения и его автоматического пополнения;
  • подробное описание услуг и дополнительных опций с возможностью их подключения и деактивации;
  • мониторинг последних проводимых компанией акций, доступных для подключения;
  • отслеживание подключенных пакетов услуг с точной статистикой по остатку минут и трафика;
  • взаимодействие с системой получения и использования бонусных баллов;
  • получить доступ к базе знаний, описывающей решение большинства возникающих в системе ошибок.

Система стремительно развивается, постоянно дорабатывая свои возможности. Минималистичный дизайн и удобная сортировка функций по категориям способствуют созданию интуитивно-понятного интерфейса, разобраться в котором сможет даже начинающий пользователь ПК.

Мегафон «личный кабинет» – регистрация через компьютер

Регистрация в системе с использованием персонального компьютера отличается по своему принципу от других операторов. Код доступа высылается не в автоматическом режиме, а должен быть получен пользователем предварительно. Для этого введите на мобильном телефоне USSD-запрос *105*00#, который инициирует процесс активации услуги и предоставит данные для доступа в панель управления.

Будьте внимательны, если вы 5 раз введёте неправильный пароль – он аннулируется и вы будете вынуждены повторно пройти процедуру регистрации. Это сделано для обеспечения дополнительной безопасности и защиты от взлома. Вход через социальные сети оператором не поддерживаются.

Как получить пароль для входа в личный кабинет Мегафон

Зайти в панель управления без пароля невозможно. Существуют и альтернативные способы получения данных от кабинета:

  1. звонок оператору с предоставлением паспортных данных и номера телефона;
  2. отправив SMS-сообщение с текстом 00 на специальный номер 000110;
  3. позвонив по горячему номеру 0505 и выбрать раздел автоматического подключения доступа к личному кабинету.

Использование Android или iOS приложения также нуждается в получении уникального пароля. Однако, данный процесс автоматизирован. Запрос к оператору и дальнейшее считывание полученных данных происходит в автоматическом режиме.

Функционал личного кабинета Мегафон

Разобравшись как войти в систему, следует изучить предлагаемый оператором функционал. Официальный сайт способен упростить жизнь пользователю Мегафон, упростив обслуживание телефонных номеров. К личному профилю может быть привязана банковская карта, к которой можно привязать функцию автооплаты пакетов. Вся информация о платежах будет приходить в виде SMS-сообщений и оповещений внутри системы приложения. «Доверительный платёж» поможет пополнить баланс в экстренном случае. Внутренний баланс лицевого счёта системы также можно использовать как способ оплаты.

мой мегафон личный кабинет

Возможность автоматического создания выписки по звонкам за определённой промежуток времени предлагает получать актуальную информацию о расходе денег и включенных в тарифный план минут. Детализация выполняется в нескольких популярных форматах и может быть отправлена на электронную почту.

мегафон личный кабинет вход по номеру телефона без пароля

Контроль остатка минут и трафика по предоплаченным пакетам поможет оптимизировать ваши ежемесячные расходы и подобрать наилучший тарифный план для повседневного использования. Столичный филиал также занимается выдачей выписки данного параметра.

мегафон личный кабинет регистрация через компьютер

Накопление и использование бонусов – самый востребованный пользователями раздел в системе. Предлагаемые для подключения бонусы размещены по соответствующим категориям и предлагают активацию всего за несколько нажатий. Зарегистрироваться в ЛК можно даже ради использования данного раздела.

мегафон ру личный кабинет

Раздел опции услуги не только покажет вам список и стоимость ваших активных подписок, но и позволит быстро активировать другие услуги. Удобный список выстраивается из лучших предложений, способных удовлетворить ваши запросы. Здесь вы поймёте, как узнать куда ежемесячно списываются дополнительные средства.

мегафон личный онлайн кабинет

База данных позволит быстро решить возникшую неисправность и разобраться в отличии базовых тарифов Мегафон. Последние акции компании и новые решения отображаются в специальном разделе, что позволяет оставаться в курсе последних событий.

Мой Мегафон личный кабинет – вход по номеру телефона

Мегафон – личный кабинет войти по номеру телефона, без пароля, доступность на мобильных платформах, расширенный функционал и простота в использовании позволяют абонентам в полную силу использовать дополнительные возможности популярного оператора мобильной связи.

В данном материале мы узнали, как зайти в личный кабинет, создать свой профиль и в режиме онлайн пользоваться услугами оператора. Функция доступна совершенно бесплатно.

В социальных сетях имеется интегрированное в раздел «Приложения» решение, позволяющее зайти в личный кабинет не закрывая свою страницу.

Функционал стремительно развивается, предлагая пользователям новые креативные решения.

Существует отдельный личный кабинет для корпоративных клиентов. Решение с особыми тарифами и расширенной статистикой по каждому абоненту позволяет контролировать общий и индивидуальный расход финансов и минут.

kakperevesti.online

Российский сотовый оператор «Мегафон» взломан

Исследователь информационной безопасности под ником w0rm объявил о том, что им была успешно проведена хакерская атака на российского оператора мобильной связи «Мегафон». Как утверждает хакер, им был получен доступ к файловой системе нескольких сайтов оператора. Помимо этого, в распоряжении взломщика оказались служебные данные сотрудников компании.

По словам хакера, у него была возможность заполучить доступ и к данным клиентов «Мегафона», но он не стал этого делать, руководствуясь этическими соображениями. Хакером в качестве доказательства представлено несколько скриншотов, которые показывают файловую структуру одного из взломанных сайтов и панель управления доменным именем megafon.mobi.

Взломщик утверждает, что он изменил пароль для входа в свой личный кабинет. В ходе смены пароля выяснилось, что пароль состоит лишь из 6 цифр, а сменить можно только на такой же шестизначный цифровой пароль. Таким образом, пароль, состоящий из 6 цифр, может быть достаточно легко подобран при отсутствии механизмов блокировки от брут-форса. Роль такого механизма на сайте «Мегафона» выполняет каптча.

Эта защита была преодолена с помощью устаревшего виджета «Яндекса», в котором не нужно вводить каптчу. Как сообщил взломщик, достаточно 20-30 минут для того, чтобы, подобрав пароль, получить доступ к произвольному личному кабинету по телефонному номеру абонента и изучить детализацию звонков, SMS, ФИО и данные о платежах.

Такой крупный успех побудил хакера провести аудит некоторых других доменов, которые принадлежат компании. В итоге он смог получить архив с резервной копией системы управления проектами Jira от начала 2015 года. Воспользовавшись учетными данными сотрудников «Мегафона», которые содержались в архиве, хакером был получен доступ к корпоративной почте и некоторым служебным ресурсам.

Представители «Мегафона» заявляют, что никаких фактов успешного проникновения в систему обнаружено не было. Сейчас компания осуществляет дополнительные проверки по фактам сообщений в социальных сетях.

В мае текущего года w0rm уже провел успешную атаку на развлекательный сайт «Спрашивай.ру». Тогда исследователем в общий доступ был размещен архив с паролями пользователей сервиса. До того он осуществил успешные атаки сайтов зарубежных средств массовой информации, таких как The Wall Street Journal и Vice.

UPD (15.05.2017): Компания «Мегафон» стала жертвой нового инцидента, связанного с информационной безопасностью. Российский сотовый оператор наряду с десятками компаний и организаций по всему миру стал жертвой активности шифровальщика Wannacry.

Подробности можно узнать в новом материале от SecureNews.

securenews.ru

Как Мегафон заботится о безопасности данных клиентов

Всю радужную картину разрушают сотовые операторы, чьи номера и привязаны к аккаунтам интернет сервисов. По крайней мере это точно относится к Мегафону.

Сейчас я расскажу, как с помощью подключения единоразовых паролей, мошенники могут получить доступ к вашим аккаунтам в соцсетях, почтовым ящикам и т.д.

Дело в том, что у оператора Мегафон есть такой удобный (а как выяснилось - вредительский) сервис - Личный Кабинет (https://lk.megafon.ru). Предназначен он для полезных вещей - слежения за балансом, подключения и отключения разных услуг и т.д.

Хотя, большинство клиентов Мегафон им не пользуются. Часто, перед поездкой в офис, люди просто заходят в ближайший офис сотового оператора или звонят в службу поддержки и просят подключить роуминг или другую услугу. Тоже самое происходит при отключении.При этом, сотрудники оператора предлагают воспользоваться личным кабинетом. объясняют как получить пароль и какие в этом преимущества. В основном люди соглашаются. набирают простую команду *105*00#, получают пароль (надо отметить, что он постоянный, а не разовый), подключают нужную услугу и уезжают в отпуск. Напрочь забывая про этот личный кабинет, в лучшем случае до следующего отпуска, который наступит через год.

Особо никто не парится по поводу смены пароля. Ведь он пришел в виде СМС на свой собственный телефон, кто он нем узнает... А зря.Сам пароль представляет из себя 6-ти значный цифровой код. Да да... Всего 6 знаков и только цифры. Уже понимаете к чему я?

Что же делают мошенники?для получения доступа к вашим профилям в разных интернет сервисах им достаточно узнать просто номер телефона. Например, в ВКонтакте или любом другом сервисе, когда-то давно дали объявление, указали свой контактный телефон, ФИО контактного лица и всё. Этого будет достаточно. Достаточно всего один раз засветить свой номер.

Злоумышленник просто запускает простейшую программу по подбору пароля. Для 6-ти знаков, это занимает не более 30 минут. Причём, авторизация в личном кабинете Мегафон не требует введения даже капчи. Дальше интересней. У Мегафона (не знаю как у других операторов) есть такая опция, кстати, бесплатная - называется UMS (https://lk.megafon.ru). Подключив этот сервим, вы (или не вы, мегафону без разницы) может отправлять и получать СМС сообщения через WEB-интерфес. Но самое интересное, что пароль для этого сервиса такой же как и для личного кабинета (далее ЛК) Мегафон.

Т.е. вору достаточно просто узнать пароль от ЛК и он сразу же может подключить эту услугу и получить достук к вашим СМС сообщениям. Дальше дело техники. В большинстве сервисов возможна авторизация по номеру телефона.Если злоумышленник не знает точно, где у вас находятся аккаунты, то ему надо просто методом перебора проверить все самые популярные соц.сети или почтовые ящики.Тут уже как вы среагируете. Но обычно это происходит ночью, когда люди спят и не реагируют на приходящие смс.

Далее, меняются пароли, привязки телефону, отвязываются почтовые ящики и всё, вы уже не можете восстановить доступ через телефон или привязанный Email. Там уже другие данные. При этом на Службу Поддержки (далее СП) особо надеяться не надо. Реакция на сообщение о взломе у них как у черепахи. Официально у Mail.ru до 5 рабочих дней. У Яндекса до 3-х. При этом ещё нужно отправлять кучу доказательств принадлежности ящика - сканы, фото на фоне экрана и т.д. И в большинстве случаев ящик, на время разбирательств, даже не блокируют.

По привязке телефона и дублирующих ящиков определяется какие ещё аккаунты у вас есть, которые скорее всего, привязаны к тому же телефонному номеру.

Всё это время злоумышленники копашится в вашей почте и смотрит к чему ещё этот ящик привязан. У него есть как минимум 2 дня. Все ваши привязанные к взломанной почте учётные записи будут проверены. И если вы вовремя не отключите опцию UMS, то взломаны точно таким же образом. Но много ли людей знают об этой опции. А те кто знают, уже давно обезопасили свой ЛК.

Вот такой хитрый способ завладеть вашими аккаунтами в совершенно разных соцсетях.Надо отметить, что проблема известна ещё с 2013 года. Однако, Мегафон принимает лишь незначительные меры по устранению отдельных уязвимостей. Не анализируя всю систему...

Для того, чтобы обезопасить себя от такой ситуации, во-первых, следует изменить стандартный, присланный на телефон, пароль от ЛК Мегафон на 26-ти значный. Это крайне усложнит, в сотни тысяч раз, процесс подбора пароля. Ну а во-вторых, не хранить важные данные в почтовых ящиках и всяких облачных сервисах, которым, так же, будет доступ у мошенника.

fishki.net

Хакер из России взломал личный кабинет Мегафон.

HackerХакер из России, известный в интернете под ником w0rm, получил информацию для доступа к служебным данным крупного сотового оператора Мегафон, также хакеру стали известны файлы, хранящиеся на сайтах компании.

По информации предоставленной TJournal, w0rm приобрел SIM-карту Мегафон и попытался поменять пароль для доступа в личный кабинет, расположенный на сайте оператора, при этом он обнаружил, что сам пароль состоит из 6 случайных цифр, а для того чтобы войти со сменой доступа система предоставляла новый пароль, тоже состоящий из 6 цифр.

Хакер выяснил еще и то, что виджет на главной странице поискового сайта Яндекс позволяет входить в личный кабинет Мегафон при помощи ввода капчи. Таким образом w0rm смог заполучить пароль к любому личному кабинету пользователя при помощи собственного программного кода. На подбор верного пароля у него уходило не более 30 минут.

Русский хакер не остановился на достигнутом и решил проверить на уязвимость другие ресурсы крупного оператора, вследствие чего он получил сведения о паролях и доступ к служебной базе данных и данным сотрудников.

Со слов представителей Яндекс, как сообщает TJournal, виджеты Мегафон более половины года не отображаются на главной страничке в поиске Яндекс. Но, ушлому хакеру, работающему под ником w0rm удалось подобрать пароли через уральский филиал сотового оператора, когда виджет еще был доступен.

Представители сотового оператора заявили, что не было отмечено случаев несанкционированного доступа. На данный момент Мегафон проводит проверку по данному факту, опираясь на сообщения в социальных сетях.

Поделиться в социальных сетях:

no-mobile.ru

Баги личного кабинета «Мегафона» или как ребята вскрыли личные данные

В личном кабинете «Мегафона» творится какой то полный бардак. Сегодня в 9:50 утра без объявления войны случайным образом попал в личный кабинет другого пользователя, который совершенно не имеет отношения к нашему корпоративному тарифу.

Внутри небольшая предыстория и потом  рассказ как так получилось.

Наша компания является корпоративным клиентом «Мегафона». Как правило все счета оплачены заранее и ситуация с тем, что не хватает денег или мегабайт на тарифе, практически не встречается.

1. Сидел я сегодня утром на остановке, сёрфил Facebook через приложение и нажал в ленте ссылку на Чемп.Ру. Открылось сообщение о том, что на тарифе осталось менее 50 мб. Я автоматом щелкнул «продолжить», но краем глаза заметил, что номер телефона, для которого появился алерт, не мой.

2. Думаю: «Интересненько». Иду в Safari, открываю ссылку lk.megafon.ru и вижу следующее:

IMG_1744    IMG_1745

Кто такой Андрей Александрович и как я попал в его личный кабинет без кода подтверждения — загадка.

3. Решаю все таки убедится, что это точно не мой личный кабинет (мало ли неверная подгрузка данных или ещё что). Проверяю баланс. ЛК точно не мой:

IMG_1746

4. Далее пробую сделать следующее:

  • удаляю весь кэш браузера и закрываю браузер — все равно попадаю в ЛК А.А.
  • вкл./выкл. авиа режим — помогло, попал в ЛК нашего ООО.

IMG_1751

5. После нажимаю «выход» и теперь у меня уже запрашивает код доступа в ЛК.

IMG_1752

6. Далее приезжаю на работу и провожу эксперимент (без подключения к Wi-FI):

  • коллега на корпоративном тарифе, доступ на lk.megafon.ru — требует ввести код подтверждения
  • другой коллега на корпоративном тарифе, доступ на lk.megafon.ru — сразу вошло в личный кабинет
  • коллега не на корпоративном тарифе, доступ на lk.megafon.ru — сразу вошло в личный кабинет

А теперь вопросы к коллегам из «Мегафона»:

  • Каким образом так получилось, что я попал в личный кабинет постороннего пользователя?
  • Почему код подтверждения не запрашивается каждый раз при входе?
  • Осознаете ли вы, что при случайном попадании в ЛК пользователя становится доступным финансовая информация, детализация звонков и другие личные данные?

Диалог можно вести здесь: https://www.facebook.com/egor.sizyakov/posts/10209515921200621 .

sizyakov.ru