Get best of the week

كيف يهتم مقدمو الخدمة بسلامة العملاء

مرحبا. يبدو أنه في العالم الحديث هناك مفاهيم واضحة إلى حد ما (حتى بالنسبة للشخص العادي غير المرتبط مباشرة بتكنولوجيا المعلومات). على سبيل المثال ، يعد تخزين كلمات المرور في نص عادي بتنسيق txt على سطح المكتب أمرًا سيئًا. لكن ، استضافة أوكرانيا ، للأسف ، أدركت ذلك فقط في يناير 2020. لا أترك رابطًا ، حتى لا أكسر القواعد ، ولكن جوجل بسرعة. ولكن ماذا عن مقدمي الخدمات الآخرين؟ على سبيل المثال ، مع موفري الإنترنت. قررت إجراء تجربة صغيرة ومشاركتها معك. سأقول على الفور: لم يكن لدي أي نية خبيثة ، تمامًا كما لم يكن هناك غرض لإيذاء أي شخص. ولكن هناك هدف ينقل للناس أنه من الأكثر مسؤولية معالجة بيانات المستخدم والحسابات الشخصية ، خاصة إذا كانت لديهم القدرة على تغيير الإعدادات بحرية. ربما إذا تم الإعلان عن هذا الوضع ، سيتغير شيء ما. أو ربما لا.من يدري ... ما زلت أحاول.

مقدمة


لاحظ الجلوس في مكتب أحد الأصدقاء كيف يدفع مقابل الإنترنت للأقارب. يذهب إلى حسابه الشخصي ، ويدفع الفاتورة ببطاقة. لن يبدو شيء غير عادي. باستثناء أنه عند إدخال رقم العقد ، يستخدم هذا الرقم كمعلومات تسجيل دخول وكلمة مرور. سألته على الفور عن هذا ، وأوصت بتغيير كلمة المرور ، وهو ما فعله على الفور. فكرت على الفور. تقع مسؤولية الحفاظ على أمان البيانات الشخصية على عاتق المستخدم وحده. لكنه ليس الوحيد. بالتأكيد من بين عدد كبير من مستخدمي هذا المزود هناك من لا يغير كلمة المرور. علاوة على ذلك ، إذا كان هؤلاء كبار السن ، فقد لا يعرفون حتى عنه. يذهبون للدفع مقابل الإنترنت من خلال المحطة النقدية ، ولديهم حساب شخصي طوال هذا الوقت دون أي حماية. ربما المزود يحل هذه المشكلة بطريقة أو بأخرى؟ من الجدير التحقق من ذلك.

عمل


سألت رقم العقد من صديق. بناءً على ذلك ، حاولت أولاً تسجيل الدخول إلى حسابات المستخدمين يدويًا عن طريق إضافة 1 باستمرار إلى الرقم. نجاح: 20/20. نحن نعتبر المحاولة ناجحة إذا كان الحساب موجودًا وتمكن من إدخال حسابك الشخصي. فيما يلي أمثلة على لقطات الشاشة (بيانات المستخدم الشخصية مخفية).

قائمة التذاكر:



لا تزال الخدمات متصلة من حساب آخر:



شعرت بالحزن. ربما هذا لأنني أستخدم عنوان نفس الموفر؟ ربما إذا اتصلت من شبكة مزود آخر فلن يسمحوا لي بالدخول إلى حسابي الشخصي؟ قم بإعداد VPN بسرعة في بلد آخر ، وسار في اتجاه الانخفاض من الرقم الأصلي. نجاح: 9/10. أحد الحسابات غير موجود.

بعد ذلك ، كتبت برنامجًا بسيطًا:

  • تسجيل الدخول إلى حسابك إذا كان موجودًا ؛
  • إذا كان الحساب غير موجود - يترك العلامة المقابلة في قاعدة البيانات ؛
  • حفظ معرف مطابقة قاعدة البيانات ورقم الهاتف والخدمات المتصلة ؛
  • يجعل تأخير في الدقيقة ؛
  • ينتقل إلى المستخدم التالي.

تحليل


نجاح التجربة: 82/100. من بين 18 محاولة فاشلة - 11 حسابًا غير موجود ، أو حسابات بدون خدمات متصلة ، 7 حسابات بكلمات مرور غير قياسية.

بناءً على ما رأيته حتى في هذه المرحلة ، يمكننا استخلاص الاستنتاجات التالية:

  1. 82٪ من العينة يستخدمون نفس مجموعة الأحرف مثل تسجيل الدخول وكلمة المرور ، والتي تكون مجتمعة رقم العقد ؛
  2. نموذج تسجيل الدخول غير محمي من خرق الحسابات. قمت بتسجيل الدخول إلى 82 حسابًا مختلفًا من عنوان IP نفسه مع 100 محاولة في المجموع ؛
  3. حسابك الشخصي غير محمي من محاولات الاختراق من شبكة أخرى ؛
  4. لا توجد حماية ضد الروبوتات في نموذج تسجيل الدخول.

ما الذي يمكن عمله بالبيانات المستلمة؟ لدينا رقم هاتف العميل وقائمة بالخدمات المتصلة. إذا كنا مزودًا منافسًا ، وحصلنا بطريقة ما على مثل هذه البيانات ، فيمكننا الاتصال بالأرقام المستلمة وتقديم شروط أكثر ملاءمة. إذا لم يكن الأمر كذلك ، لدينا قاعدة بيانات لأرقام الهاتف للاتصال من حيث المبدأ. مهما نبيع / نعلن / نقدم. إذا كنا مهرجين أشرار (جيدًا ، أو مخالفين للقانون) - يمكننا تغيير كلمة المرور ، أو استدعاء المعالج ، أو تعطيل الخدمة. وهذا مجرد ارتجاف ، دون تفكير كبير. على أي حال ، يمكن استخدام هذا الموقف إما لتحقيق مكاسب شخصية أو لإيذاء المستخدمين.

خاتمة


أنا كشخص لائق ، حذفت القاعدة. كود وملفات قابلة للتنفيذ وخادم مع VPN أيضًا. ما يجب أن يفعله القارئ بالمعلومات التي يتلقاها هو أمر يعود للقارئ ليقرر ، سيكون ذلك في ضميره. في أي حال من الأحوال ، لا أحث على تكرار هذه التجربة ، واستخدام البيانات بأي حال من الأحوال. علاوة على ذلك ، أحث جميع مقدمي الخدمات على معاملة عملائهم وبياناتهم بمسؤولية كاملة.

بشكل عام ، كامون. لدى هذا المزود نصف بلد العملاء ، ويستخدم أرقام العقد الافتراضية ككلمات مرور. استخدم كلمات المرور المعقدة افتراضيًا ، ثم قم بتثبيت كلمة التحقق على الإدخال ، وقم بإجراء فحوصات أولية للقوة الغاشمة ، وحظر الدخول برقم العقد من جميع عناوين IP باستثناء العميل ، فهل هذا صعب حقًا؟

وأوصي القراء بالتحقق من حساباتهم الشخصية ومزوديهم. على أي حال ، لا تنس أن المستخدم نفسه يجب أن يهتم بسلامة بياناته الشخصية ، ولا تعتمد على شخص آخر.

UPD 03/20/2020
اتخذ المزود المذكور إجراءات (على الأقل بعض). لا يزال لا يوجد اختبار CAPTCHA ، لم أتحقق من إمكانية تسجيل الدخول من شبكات أخرى ، ولكن لم يعد بإمكاني الوصول إلى كلمة المرور القياسية. يقول أن كلمة المرور ليست قوية بما فيه الكفاية ، ويقدم تسجيل الدخول عبر الهاتف (التأكيد عن طريق رمز SMS).

صورة

حسنًا ، شكرًا على ذلك (شكرًا حقًا ، وليس السخرية).

More articles:


All Articles