Comments 47
У воспитанных людей принято не публиковать уязвимость не дав хотя бы неделю на закрытие… Или из-за этой проблемы они должны были программистов своих на выходных от отдыха отрывать??
Проблемы он создал не Эртелекому, а ни в чем не виноватым простым пользователям…
Полностью поддерживаю — пару дней для закрытия бага не помешали бы… Хотя с другой стороны вроде и фирма солидная, а такая недоработка(не буду говорить баг или уязвимость — просто кто-то на стадии бета-теста не посчитал нужным сразу код написать граммотно).
UFO landed and left these words here
Эртелеком вроде уже отдал данные (трафик) всех своих клиентов каким-то iMarker, не понятно какие еще данные кому они могут отдать чтобы стало хуже.
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.

Естественно письмо было отправлено с сети провайдера как я понимаю?
В таком случае провайдеру не составит проблем вас вычислить:
1. Смотрят ip, видят прокси
2. Смотрят логи, кто юзал даный прокси в даное время.

Или ещё проще, посмотрят какой ip смотрел разные странички клиентов, достаточно умно грепнуть аксес лог =)
Проще грепать аксес лог на хождение от пользователя автора к хабру, «хорошо», что у хабра нет https :)
Если они смогли допустить такую позорную дыру, то уж ума на анализ логов вряд ли найдётся.
Вот тут не соглашусь)
Вот эта «позорная» дыра, это обычная оплошность ленивого програмиста.
А логи если будет то будет смотреть администратор… И даже если это один и тот же человек, то я надеюсь админ из него получше, нежели програмист
Зачем морочиться, если автор не замазал половину своей сессии? :)
собственно это не взлом, так что наказать за это не могут, по закону никто не мешает менять данные в адресной строке браузера, и это целиком вина эртелекома, что они так просто светят в мир пользовательские данные.
Какая жесть.

— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.

… а потом опубликовал на хабре из-под своего аккаунта. Хостер ведь не знает о хабре)
> я отписал провайдеру на почту с левого почтового ящика
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)

P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
Сейчас самое анонимное, что можно придумать — это завести виртуалку, проксировать с нее весь трафик на TOR, создать почтовый ящик на каком-нибудь зимбабвийском почтовом сервере, и слать через него)
Боюсь, письма с зимбабвейского сервера могут не дойти до русского почтовика :)
Бывает, админы почтового сервера тупо дропают письма из китая и африки.
А уж Эртелекому письма из африки точно не нужны :)
Нет не указывал. Но как я понял надеяться на анонимность не стоит. Ну я достаточно далек от таких вещей, все получилось случайно. Намотаю на ус про гмыло.
В том же gmail достаточно хотя бы один раз засветить свой реальный IP (в т.ч. при регистрации), чтобы быть скомпрометированным. Безопасность может дать TOR, и то, довольно условную… А через TOR ящик gmail, кстати, зарегать почти что нереально.
Вам надо намотать на ус то, что СНАЧАЛА нужно дождаться исправления уязвимости, а ПОТОМ только публиковать это.
Параноики могут зайти на mail.ru через tor, а при регистрации нового почтового аккаунта воспользоваться кнопочкой «у меня нет мобильного телефона». mail.ru попросит ввести капчу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?

> В нашей стране за подобное любопытство могут наказать.

Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.

В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Написал им в онлайн-консультанте ссылку на этот пост. Просто поинтересовался — известно ли им о проблеме.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
Результат ожидания — ошибка скрипта в диалоге соединения с оператором.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
При второй попытке был получен ответ, что информацию передали специалистам — они разбираются.
А статистика отдаётся из личного кабинета или просто из сайта? Может это не баг, а фича? Я к тому, что, ну есть номер договора, а дальше что?
Я заходил с кабинета, а вообще просто описал тот факт, что как ни крути, светятся личные данные. И это на мой (непрофессиональный) взгляд неправильно.
Судя по вашим скринам, палятся только ФИО и номер договора, для чего можно применить эти данные?
Априори, распространение персональных данных без явного согласия субъекта ( — распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; ), к которому эти самые данные относятся, является уголовно наказуемым деянием.
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
Спасибо, кеп )
Просто мне интересно зачем так торопиться сливать эту инфу туда, где куча народу умеет под такое парсеры создавать, если сама по себе уязвимость не сильно критичная.
Это вопрос, скорее, к автору статьи. А пример их применения описан в комментарии ниже)
Выше был пример обращения к онлайн-консультанту, там как раз эти данные требовались, так что их можно применить, чтобы прикинуться другим клиентом.
Здравствуйте, Игорь.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Разглашение личныз данных, даже если она может быть получена в инернете противоречит политике хабра. Научитесь общаться в сообществе и люди к вам потянутся.
Кнопку статистики похоже просто убрали из ЛК, а попытки перейти по прямой ссылке (осталась в истории браузера) ведет к ошибке

Оперативно
всё логично — быстрее перекрыть доступ, а потом уже разбираться с ошибкой
Дом.ру вообще весёлый — такое впечатление, там под одной веб-мордой объединены несколько систем с отдельными логинами и разной длиной сессии.
Уважаемый trasser, от лица Дом.ru — спасибо, что обратили внимание на уязвимость, благодаря вам устранили ее максимально оперативно. Народный контроль в действии)) Приятного пользования услугами
Сбросьте в личку номер договора, я проконсультируюсь у коллег, что можно сделать
да я пошутил)) в личке отписался что не надо мне ничего. но человек был готов помочь с этим вопросом, за что я его поблагодарил.
Only those users with full accounts are able to leave comments. Log in, please.