- PVSM.RU - https://www.pvsm.ru -

Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов

На один из наших корпоративных сотовых телефонов была почти успешная хакерская атака.
К счастью, довольно быстро удалось разобраться — откуда растут ноги.
Мы обнаружили очередную дыру в защите Мегафона, о чём с вами и делимся.
Так как она касается всех абонентов сети.

Несколько дней назад я сообщил в абонентскую службу о дыре на сайте Мегафона. На момент времени 08.04.2013 уязвимость не исправили.

Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома.

Итак, у Мегафона есть нужная и полезная вещь — СервисГид. Где можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас».
И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует.

Всё бы хорошо, но капча вредит юзабилити сайта, и дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:

MegaHole - дыра в безопасности Мегафона

Всё бы хорошо, но пара логин-пароль для входа используется тот же, что и для СервисГида.
СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.

Что делали воры?

  1. С помощью этого смс-сайта подобрали (видимо, простым перебором) пароль от СервисГида, и вошли
  2. Они получают доступ и в СервисГид, и к чтению входящих смс, и к отправке SMS.
  3. Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение)
  4. По подписке приходит SMS с кодом подтверждения
  5. Вводят этот код на сайте подписки
  6. Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке

Обработав так автоматически и массово тысячи телефонов — можно заработать неприличные деньги.

К чести специалистов оператора сотовой связи, в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление.

В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий.
К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор.
Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировки. Но если бы пароль я не успел поменять — кто знает, что они учудили.

В течение суток дважды приходили коды подтверждения платных подписок и продолжают приходить.

Меры защиты от этой атаки для Мегафона:

Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить.

Меры защиты для абонентов:

0. Вообще не пользоваться СервисГидом, но если уже начали — 1. Поставить более стойкий пароль на СервисГид, например [1]
2. В любом случае сменить пароль от СервисГида
3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, снимание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга "Стоп-контент [2]".

Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга.

Автор: netAn

Источник [3]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/vzlom/31527

Ссылки в тексте:

[1] например: http://help.yandex.ru/passport/?id=888365

[2] Стоп-контент: http://moscow.megafon.ru/services/content/stop_content/about.html

[3] Источник: http://habrahabr.ru/post/175939/