Comments
47
У воспитанных людей принято не публиковать уязвимость не дав хотя бы неделю на закрытие… Или из-за этой проблемы они должны были программистов своих на выходных от отдыха отрывать??
Тот, кто хоть раз наткнулся на подводные камни Эртелекома, скажет, что эта контора не заслуживает к себе хорошего отношения.
Проблемы он создал не Эртелекому, а ни в чем не виноватым простым пользователям…
Полностью поддерживаю — пару дней для закрытия бага не помешали бы… Хотя с другой стороны вроде и фирма солидная, а такая недоработка(не буду говорить баг или уязвимость — просто кто-то на стадии бета-теста не посчитал нужным сразу код написать граммотно).
Эртелеком вроде уже отдал данные (трафик) всех своих клиентов каким-то iMarker, не понятно какие еще данные кому они могут отдать чтобы стало хуже.
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
Естественно письмо было отправлено с сети провайдера как я понимаю?
В таком случае провайдеру не составит проблем вас вычислить:
1. Смотрят ip, видят прокси
2. Смотрят логи, кто юзал даный прокси в даное время.
Или ещё проще, посмотрят какой ip смотрел разные странички клиентов, достаточно умно грепнуть аксес лог =)
Проще грепать аксес лог на хождение от пользователя автора к хабру, «хорошо», что у хабра нет https :)
Если они смогли допустить такую позорную дыру, то уж ума на анализ логов вряд ли найдётся.
Вот тут не соглашусь)
Вот эта «позорная» дыра, это обычная оплошностьленивого програмиста.
А логиесли будет то будет смотреть администратор… И даже если это один и тот же человек, то я надеюсь админ из него получше, нежели програмист
Вот эта «позорная» дыра, это обычная оплошность
А логи
Зачем морочиться, если автор не замазал половину своей сессии? :)
собственно это не взлом, так что наказать за это не могут, по закону никто не мешает менять данные в адресной строке браузера, и это целиком вина эртелекома, что они так просто светят в мир пользовательские данные.
Какая жесть.
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
— «У нас дыра в безопасности!»
— «Хоть что-то у нас в безопасности!»
Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.
… а потом опубликовал на хабре из-под своего аккаунта. Хостер ведь не знает о хабре)
Ещё никогда Штирлиц не был так близок к провалу
> я отписал провайдеру на почту с левого почтового ящика
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
… на mail.ru
mail.ru любит просить подтверждение по смс при регистрации, я надеюсь, вы его не указывали? :)
P.S.
gmail не показывает ip адреса своих клиентов при отправке писем.
И там https из коробки.
Так что в следующий раз вместо прокси рекомендую просто использовать gmail.
А gmail сейчас тоже SMS просит)
Сейчас самое анонимное, что можно придумать — это завести виртуалку, проксировать с нее весь трафик на TOR, создать почтовый ящик на каком-нибудь зимбабвийском почтовом сервере, и слать через него)
Боюсь, письма с зимбабвейского сервера могут не дойти до русского почтовика :)
Бывает, админы почтового сервера тупо дропают письма из китая и африки.
А уж Эртелекому письма из африки точно не нужны :)
Бывает, админы почтового сервера тупо дропают письма из китая и африки.
А уж Эртелекому письма из африки точно не нужны :)
Нет не указывал. Но как я понял надеяться на анонимность не стоит. Ну я достаточно далек от таких вещей, все получилось случайно. Намотаю на ус про гмыло.
В том же gmail достаточно хотя бы один раз засветить свой реальный IP (в т.ч. при регистрации), чтобы быть скомпрометированным. Безопасность может дать TOR, и то, довольно условную… А через TOR ящик gmail, кстати, зарегать почти что нереально.
Вам надо намотать на ус то, что СНАЧАЛА нужно дождаться исправления уязвимости, а ПОТОМ только публиковать это.
Параноики могут зайти на mail.ru через tor, а при регистрации нового почтового аккаунта воспользоваться кнопочкой «у меня нет мобильного телефона». mail.ru попросит ввести капчу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Впрочем, если автор «баловался» изменением урла в строке браузера не применяя при этом tor как деанонимизатор — то найти его по логам сервера будет не просто, а очень просто. Но кому нужно ловить Неуловимого Джо?
> В нашей стране за подобное любопытство могут наказать.
Глупости. Хоть у нас и ругают суды за предвзятость, но подобное любопытство из которого вы не извлекли выгоды не будет считаться нарушением закона. Не надо лишний раз наговаривать. Претензии к «нашей стране» предъявлять нужно. Но по делу.
В общем, автору за любознательность ставим пятерку. За исследовательскую работу — четверку. А за желание выпендриться на хабре по теме информационной безопасности — тройку. Ну, до кучи тестерам этого Дома.ру поставим двойку и вызовем родителей в школу.
Написал им в онлайн-консультанте ссылку на этот пост. Просто поинтересовался — известно ли им о проблеме.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
И первое что они спросили — было:
>Добрый день. Уточните, пожалуйста, Ваш адрес или номер договора, а также ФИО владельца договора.
Хотя возможно, это у них скрипт такой.
Вот уже которую минуту жду ответа.
Результат ожидания — ошибка скрипта в диалоге соединения с оператором.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
>XMLHttpRequest::open failed! This usually occurs due to the URL of your Kayako installation being different from the one specified under Admin CP >> Settings >> General. Due to limitations inherent in AJAX, the product URL needs to be exactly the same as the one specified in the settings; this includes «www.» and trailing slashes.
При второй попытке был получен ответ, что информацию передали специалистам — они разбираются.
А статистика отдаётся из личного кабинета или просто из сайта? Может это не баг, а фича? Я к тому, что, ну есть номер договора, а дальше что?
Я заходил с кабинета, а вообще просто описал тот факт, что как ни крути, светятся личные данные. И это на мой (непрофессиональный) взгляд неправильно.
Судя по вашим скринам, палятся только ФИО и номер договора, для чего можно применить эти данные?
Априори, распространение персональных данных без явного согласия субъекта ( — распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; ), к которому эти самые данные относятся, является уголовно наказуемым деянием.
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
В данном случае хостер нарушил ст.19 п.1 ФЗ о персональных данных
(Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.)
Ну что еще добавить?
Спасибо, кеп )
Просто мне интересно зачем так торопиться сливать эту инфу туда, где куча народу умеет под такое парсеры создавать, если сама по себе уязвимость не сильно критичная.
Просто мне интересно зачем так торопиться сливать эту инфу туда, где куча народу умеет под такое парсеры создавать, если сама по себе уязвимость не сильно критичная.
Это вопрос, скорее, к автору статьи. А пример их применения описан в комментарии ниже)
для инвайта же.
Выше был пример обращения к онлайн-консультанту, там как раз эти данные требовались, так что их можно применить, чтобы прикинуться другим клиентом.
Здравствуйте, Игорь.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Нехорошо с вашей стороны было публиковать уязвимость до ее закрытия.
Нехорошо с вашей стороны позволять ее эксплуатировать.
Разглашение личныз данных, даже если она может быть получена в инернете противоречит политике хабра. Научитесь общаться в сообществе и люди к вам потянутся.
Кнопку статистики похоже просто убрали из ЛК, а попытки перейти по прямой ссылке (осталась в истории браузера) ведет к ошибке
Оперативно
Оперативно
всё логично — быстрее перекрыть доступ, а потом уже разбираться с ошибкой
Дом.ру вообще весёлый — такое впечатление, там под одной веб-мордой объединены несколько систем с отдельными логинами и разной длиной сессии.
Уважаемый trasser, от лица Дом.ru — спасибо, что обратили внимание на уязвимость, благодаря вам устранили ее максимально оперативно. Народный контроль в действии)) Приятного пользования услугами
А можно скидку на интернет? ))
Сбросьте в личку номер договора, я проконсультируюсь у коллег, что можно сделать
отписался в личку.
Что-то получили?
да я пошутил)) в личке отписался что не надо мне ничего. но человек был готов помочь с этим вопросом, за что я его поблагодарил.
Маскировка явно не удалась.
Only those users with full accounts are able to leave comments. Log in, please.
Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов