Comments 88
Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.
А токен можно использовать для полноценного доступа к апишке без необходимости получать привилегированные права в системе. А это наверное скрывает в себе много интересных фишек, таких как подписки на платные сервисы)
Небольшая предыстория: нашел у операторов большой четверки разные уязвимости (некоторые — достаточно серьезные, позволяют взламывать аккаунты на сервисах с СМС авторизацией (не SS7 проблемы, если что :) ). На черный рынок продавать очень не хотелось, поэтому стал пытаться написать операторам.
Теле2: дали адрес почты службы безопасности, сказали, что это единственный контакт. Полгода пытаюсь получить хоть какой-то ответ на почту, нет ничего. Обычная служба поддержки говорит, что это единственный контакт и «Надеемся, что служба безопасности ответит вам»
МТС: обещали передать информацию разработчикам, я отправил пару средних по опасности багов и добавил, что если им интересны более серьезные уязвимости, то я буду ждать писем от специалистов компании, чтобы общаться напрямую. Исчезли, на дальнейшие сообщения не реагировали.
Билайн: сказали, что служба безопасности не общается с клиентами, предложили передать данные (практика показывает, что в такой ситуации не будет никакого ответа и дальнейшего взаимодействия). К счастью, нашел адрес службы разбора конфликтных ситуаций, там предложили сертификат белого хакера, который ценится в профессиональном сообществе. Это было последнее письмо от них, больше ответов не было.
Мегафон: сначала служба поддержки предложила написать бумажное письмо (!) в Москву, но потом я нашел сотрудника компании, который согласился передать информацию нужным отделам. Взаимодействие продолжается, пока это единственная компания, которая что-то делает.
Не переживайте. О Вас вспомнят, когда кто-то другой найдет эту же уязвимость и её успешно проэксплуатирует с заметными последствиями. Тогда Вы станете первым подозреваемым.
Билайн: сказали, что служба безопасности не общается с клиентами
Очень даже общается, когда сообщаешь о мошенничестве. Но, видимо, это единственное исключение из правил.
Как-то раз меня убеждали сменить банк и среди аргументов было:
Смотри тут в чатике даже не нужно ждать ответа специалиста в большинстве случаев! Ты просто пишешь "Какой процент за переводы туда-то". И тут же получаешь ответ!
Нет уж, лучше я 5-10 минут (время реакции поддерки в текущем банке) подожду, но поговорю с человеком.
В самом же плохом случае кнопок для решения проблем нет не только у операторов, но и у реальных сотрудников в офисах. Когда они носят гордые бейджики с должностями руководителей, но по факту могут только посочувствовать, хочется биться головой об пол.
Тоже обращался к ним на эту почту и тоже не смог им потом ответить, такое же письмо приходило что нет поддержки по почте.
— удалить приложение,
— устроится программистов в пчелайн и исправить изнутри проблему.
А с их бот-стенами и е-мельницами биться… нужно иметь много времени и желания.
Однако выйти на человека всё же можно. Нужно громко ругаться, пока звучат реплики голосового меню. Видимо там у них детектор агрессивного тона стоит и сильно недовольного клиента они все же ставят в очередь к оператору.
Не знаю. может это имиф такой, но у меня стойкое ощущение, что чем громче орёшь и ругаешься на автоответчик, тем быстрее приходит оператор. Попробуйте=).
Был лет 15 назад в офисе одной телекомпании, там похоже работал кэширующий прокси. Там в свою почту проблемно попасть было.
Было приблизительно так: Внутри локальной сети телекомпании находилась еще маленькая локалка со своим роутером и четырмя ПК, прокси находился в «наружной» локалке.
“В ответ на ваш номер такой-то от такого-то сообщаем вашей телеграммы поняли колеса вы не получили самолет колесами потерпел аварию горами азербайджана Сидоров катапультирован понижен должности лишен наград колеса раскатаны местными жителями по аулам ждите сообщений”.
(с) Жванецкий, «Дурочка»
Ладно, не суть. По теме присоединюсь к вопросу: чем найденное опасно для рядового юзера? Ну гадит приложение в лог токенами, и что? Это же Ваши данные. Это практически то же самое, что упрекать браузер в возможности отображать в консоли отладки куки сайтов.
Плюс если к этой неосторожности добавится еще какая-нибудь (не подозревая о проблеме с первой), то в логах может появиться больше интересных вещей. Я согласен, что это лишь теория, но такое отношение со стороны разработчика мне кажется неприемлемым.
Меня каждый раз выслушивал оператор, говорил, что заявка на исправление проблемы успешно зарегистрирована и что бы я не переживал по этому поводу, в этот раз они точно разберутся. А потом ровно через неделю мне приходило смс о том, что моя заявка передана в центр планирования развития сетей. И так полтора месяца по кругу.
Только лишь через полтора месяца, вместо отправки мне очередного смс, мне позвонил инженер и сообщил, что да, они проверили и оказалось, что действительно была проблема с вышкой.
А теперь самое главное: И это всё при том, что до этой ситуации, уже был случай с этой же базовой станцией, когда она неделю просто не работала и я неделю доказывал оператору, что это у них проблема, а не у меня с телефоном что-то не так.
Так что во второй раз они уже должны были знать, как то, что базовая станция потенциально проблемна, так и то, что ко мне следует прислушаться на всякий случай и проверить информацию, но нет, пришлось полтора месяца доказывать, что проблема имеет место быть.
Поэтому я предполагаю, что действует алгоритм «проверить внепланово если жалоб много, иначе проверить по плану».
Так что во второй раз они уже должны были знать
Это, кстати, проблема "отстутствия памяти" и разных сотрудников. Я так где-то с пару лет общаюсь с техподдержкой пейпала. Вся комедия в том, что каждый день мне отвечает новый человек, и то если повезёт. Если нет — робо-ответ. Так что где-то к 50тому письму на слудующий день я начинал сообщение так: "Прежде чем отвечать мне автоматическим ответом или любым другим, перечитайте всё вышеописанное (и тут же прикреплял весь тред). И нет, это (обычная рекомендация) для меня не работает. И нет, этого я тоже делать не буду. А теперь ещё раз перечитайте и решите уже наконец мою проблему.".
Кстати, проблему я так и не решил. Причина та же — одни обещали одно, другие говорили другое, третьи открещиваются "это невозможно, можно только так". А вот если бы за первые пять сообщений они составили условный фоторобот проблемы, глядишь, шестой сотрудник решил бы проблему имея все карты на руках.
А читать жалобы на тех поддержку — ну такое.
Например, в приложении Мой Tele2 (Россия) пароль в какой-то момент передавался по нешифрованному http. (Больше похоже было на недосмотр, остальные запросы были по https.) Я сообщил им через vk, сказали передадут нужным людям. Время прошло, ничего не сделали. Я написал об этом же в отзыве в App Store. Тут уже мне ответили, поблагодарили и вскоре пофиксили.
Еще я нашел дырку в приложении Мой Билайн (Казахстан). Там вместо того, чтобы использовать https, сделали свое «шифрование», при этом таким образом, что ключ для расшифровки передавался вместе с шифрованным сообщением! Я писал и оператору, и компании разработчику приложения, реакции просто никакой.
А ситуация полного игнора или отписок вида «это не баг, а фича!» — скорее правило, чем исключение, увы.
Максимум, на что можно рассчитывать, это то, что уязвимость закроют в следующем обновлении, через месяц-другой, втихую, даже без «спасибо!»
Так то это системный logcat, и там я как раз и обнаружил, пройдясь по приложению, указанную информацию
Вы, как разработчик, не можете гарантировать, что этот лог не будет прочитан и сохранен сторонним приложением (при наличии рута) или оболочкой вроде MIUI.
Прямо под статьей блок с вакансиями и одна из первых "Android разработчик в ВымпелКом (Билайн)". Может стоит записаться на собеседование и сообщить о баге?)
Чат бот и скрипт голосового меню достали жутко. Последней каплей стало то, что несмотря на жесткое «отпишите меня от *любой* рекламы», все равно прислали рекламу магазина смартфонов к 8 марта.
Самое забавное, что, когда начал перенос номера к другому оператору, мне позвонил какой-то менеджер, который чуть ли не со слезами упрашивал у них остаться и предлагал дать свой личный номер, чтобы я мог позвонить в случае проблем. Мое «ваша попытка сделать жизнь одного клиента лучше, вместо того, чтобы налаживать процессы внутри компании, только говорит о правильности моего решения уйти» до него не дошло.
Кроме того, раз 7 звонили в разные моменты с вопросом почему же ухожу. Т.е. они меня выслушивали, а в CRM ничего не записывали. Если у них вообще CRM есть…
Жалобу со слов звонившего сотрудники call центра, кстати, составить не могут. Это тоже доставляет.
При том, что качество услуг у них, имхо, — одно из самых высоких на рынке, клиентский сервис — отвратителен.
ЗЫ: Еще из забавных историй. Звоню в поддержку домашнего интернета. «Введите номер вашего договора». У меня его нет под рукой, да и дома не уверен, что найду. Пытаюсь нажимать и 0, и другие действия, но скрипт голосового меню либо повторяет запрос на номер договора, либо просто обрывает связь. В итоге, пришлось звонить в саппорт мобильной связи выносить 20 минут девушке мозг, чтобы она оставила для сотрудников домашнего интернета заявку на обратный звонок.
#простоудобнодлятебя)
Типа так:
GET /support HTTP/1.1
Host: beeline
HTTP/1.1 302 Found
Location: /support
Обратитесь в службу поддержки.
Началось все с музыки под «все ваши разговоры записываются», затем и веб-формы обратной связи стали все более и более запутано-перепутано предлагать хоть какой-то диалог с живым сотрудником, заменив это на бесконечные FAQ, среди которых диалог — фиг найдешь, затем к ним добавились недремлющие всплывающие окна «консультантов» — на деле оказывающиеся роботами.
Раздражает жутко, как и всякий фейк и ложная надежда.
Уж лучше честно — поддержка недоступна, и с ностальгией вспоминать дозвон в советские инстанции по телефонному номеру. Там уж если пробьешься среди гудков «занято» и не сбросят, то хоть значит, попал куда надо
зы) вчера «скорую» пришлось вызывать — процесс производился с 4-мя (!) редиректами, каждому из которых надо было объяснять проблему и называть адрес по-новой. Прям как в службе поддержки евросети, и музыка, и «разговоры записываются». Последним звеном оказалась хамоватая тетка, в раздраженно-советской манере после оглашения всех деталей ответившая «ждите» и раздраженно повесившая трубку
Сейчас же, при работе через сотовую сеть, осталось два варианта логина: либо кнопка «войти» (и меня авторизует без пароля, просто по номеру телефона), либо кнопка «войти под другим номером», которая требует вводя и номера, и пароля руками.
Обратной связи с разработкой (да и вообще обратной связи вида «у вас это сделано плохо») в Би особо нет, можно только написать письмо на эл. ящик, и его «рассмотрят».
Глупая уязвимость в приложении «Мой билайн»