Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов

в 17:18, , рубрики: биллинг, взлом, информационная безопасность, короткие номера, Мегафон, Мобильный веб, подбор пароля., хаккеры, метки: , , , , ,

На один из наших корпоративных сотовых телефонов была почти успешная хакерская атака.
К счастью, довольно быстро удалось разобраться — откуда растут ноги.
Мы обнаружили очередную дыру в защите Мегафона, о чём с вами и делимся.
Так как она касается всех абонентов сети.

Несколько дней назад я сообщил в абонентскую службу о дыре на сайте Мегафона. На момент времени 08.04.2013 уязвимость не исправили.

Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома.

Итак, у Мегафона есть нужная и полезная вещь — СервисГид. Где можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас».
И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует.

Всё бы хорошо, но капча вредит юзабилити сайта, и дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:

MegaHole - дыра в безопасности Мегафона

Всё бы хорошо, но пара логин-пароль для входа используется тот же, что и для СервисГида.
СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.

Что делали воры?

  1. С помощью этого смс-сайта подобрали (видимо, простым перебором) пароль от СервисГида, и вошли
  2. Они получают доступ и в СервисГид, и к чтению входящих смс, и к отправке SMS.
  3. Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение)
  4. По подписке приходит SMS с кодом подтверждения
  5. Вводят этот код на сайте подписки
  6. Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке

Обработав так автоматически и массово тысячи телефонов — можно заработать неприличные деньги.

К чести специалистов оператора сотовой связи, в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление.

В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий.
К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор.
Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировки. Но если бы пароль я не успел поменять — кто знает, что они учудили.

В течение суток дважды приходили коды подтверждения платных подписок и продолжают приходить.

Меры защиты от этой атаки для Мегафона:

Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить.

Меры защиты для абонентов:

0. Вообще не пользоваться СервисГидом, но если уже начали — 1. Поставить более стойкий пароль на СервисГид, например
2. В любом случае сменить пароль от СервисГида
3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, снимание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга "Стоп-контент".

Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга.

Автор: netAn

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js