Get best of the week

Wie sich Anbieter um die Sicherheit ihrer Kunden kümmern

Guten Tag. Es scheint, dass es in der modernen Welt ziemlich offensichtliche Konzepte gibt (selbst für die durchschnittliche Person, die nicht direkt mit der IT zusammenhängt). Das Speichern von Passwörtern im Klartext in txt auf dem Desktop ist beispielsweise fehlerhaft. Das ukrainische Hosting hat dies jedoch leider erst im Januar 2020 erkannt. Ich hinterlasse keinen Link, um nicht gegen die Regeln zu verstoßen, sondern um schnell zu googeln. Aber was ist mit anderen Anbietern? Zum Beispiel bei Internetprovidern. Ich habe beschlossen, ein kleines Experiment durchzuführen und es mit Ihnen zu teilen. Ich werde gleich sagen: Ich hatte keine böswillige Absicht, so wie es keinen Zweck gab, jemandem Schaden zuzufügen. Es ist jedoch ein Ziel, den Menschen zu vermitteln, dass es verantwortungsbewusster ist, Benutzerdaten und persönliche Konten zu behandeln, insbesondere wenn sie die Möglichkeit haben, Einstellungen frei zu ändern. Vielleicht ändert sich etwas, wenn diese Situation veröffentlicht wird. Oder vielleicht nicht.Wer weiß ... ich werde es trotzdem versuchen.

Vorwort


Als er im Büro eines Freundes saß, bemerkte er, wie er das Internet an Verwandte bezahlt. Er geht auf sein persönliches Konto und bezahlt die Rechnung mit einer Karte. Es scheint nichts Ungewöhnliches zu sein. Außer dass er bei der Eingabe der Vertragsnummer diese Nummer sowohl als Login als auch als Passwort verwendet. Ich fragte ihn sofort danach und empfahl, das Passwort zu ändern, was er sofort tat. Ich dachte sofort. Die Sicherheit personenbezogener Daten liegt in der alleinigen Verantwortung des Benutzers. Aber er ist nicht der einzige. Sicherlich gibt es von einer großen Anzahl von Benutzern dieses Anbieters diejenigen, die das Passwort nicht ändern. Wenn es sich um ältere Menschen handelt, wissen sie möglicherweise nicht einmal etwas über ihn. Sie bezahlen das Internet über das Terminal in bar und hatten die ganze Zeit über ein persönliches Konto ohne jeglichen Schutz. Vielleicht löst der Anbieter dieses Problem irgendwie? Es lohnt sich, es sich anzusehen.

Aktion


Ich habe die Vertragsnummer von einem Freund gefragt. Auf dieser Grundlage habe ich zunächst manuell versucht, mich bei Benutzerkonten anzumelden, indem ich der Nummer ständig 1 hinzufügte. Erfolg: 20/20. Wir halten den Versuch für erfolgreich, wenn das Konto vorhanden ist und Ihr persönliches Konto eingegeben werden konnte. Hier sind Beispiele für Screenshots (persönliche Benutzerdaten sind ausgeblendet).

Ticketliste:



Noch verbundene Dienste von einem anderen Konto:



Ich war traurig. Vielleicht liegt das daran, dass ich die Adresse desselben Anbieters verwende? Wenn ich mich über das Netzwerk eines anderen Anbieters verbinde, kann ich möglicherweise nicht auf mein persönliches Konto zugreifen? Richten Sie schnell ein VPN in einem anderen Land ein und gingen Sie in die Richtung, von der ursprünglichen Nummer abzunehmen. Erfolg: 9/10. Eines der Konten existiert nicht.

Anschließend schrieb ich ein einfaches Programm, das:

  • meldet sich bei Ihrem Konto an, falls vorhanden;
  • wenn das Konto nicht existiert - hinterlässt die entsprechende Markierung in der Datenbank;
  • speichert die Datenbank-ID, die Telefonnummer und die verbundenen Dienste;
  • macht eine Verzögerung pro Minute;
  • fährt mit dem nächsten Benutzer fort.

Analyse


Der Erfolg des Experiments: 82/100. Von den 18 fehlgeschlagenen Versuchen - 11 nicht vorhandene Konten oder Konten ohne verbundene Dienste, 7 Konten mit nicht standardmäßigen Kennwörtern.

Basierend auf dem, was ich bereits zu diesem Zeitpunkt gesehen habe, können wir die folgenden Schlussfolgerungen ziehen:

  1. 82% der Stichprobe verwenden denselben Zeichensatz wie Login und Passwort, in Kombination die Vertragsnummer.
  2. Das Anmeldeformular ist nicht vor dem Busting von Konten geschützt. Ich habe mich mit insgesamt 100 Versuchen bei 82 verschiedenen Konten derselben IP angemeldet.
  3. Ihr persönliches Konto ist nicht vor Versuchen geschützt, in ein anderes Netzwerk einzudringen.
  4. Im Anmeldeformular gibt es keinen Schutz gegen Roboter.

Was kann mit den empfangenen Daten gemacht werden? Wir haben eine Kundentelefonnummer und eine Liste der verbundenen Dienste. Wenn wir ein konkurrierender Anbieter sind und solche Daten irgendwie haben, können wir die empfangenen Nummern anrufen und günstigere Bedingungen anbieten. Wenn nicht, haben wir eine Datenbank mit Telefonnummern zum grundsätzlichen Anrufen. Was auch immer wir verkaufen / bewerben / anbieten. Wenn wir böse Joker sind (na ja, oder Gesetzesverstöße), können wir das Passwort ändern, den Assistenten anrufen oder den Dienst deaktivieren. Und das ist nur beiläufig, ohne viel nachzudenken. In jedem Fall kann diese Situation entweder zum persönlichen Vorteil oder zur Schädigung von Benutzern genutzt werden.

Nachwort


Ich habe als anständige Person die Basis gelöscht. Code, ausführbare Dateien und ein Server mit VPN. Was der Leser mit den erhaltenen Informationen tun sollte, muss der Leser entscheiden, es liegt in seinem Gewissen. In keinem Fall fordere ich auf, dieses Experiment zu wiederholen und die Daten in irgendeiner Weise zu verwenden. Darüber hinaus fordere ich alle Anbieter auf, ihre Kunden und ihre Daten mit voller Verantwortung zu behandeln.

Im Allgemeinen Kamon. Dieser Anbieter hat die Hälfte des Kundenlandes und verwendet die Standardvertragsnummern als Passwörter. Verwenden Sie standardmäßig komplexe Passwörter, schrauben Sie das Captcha auf die Eingabe, führen Sie elementare Überprüfungen auf Brute Force durch, verbieten Sie die Eingabe der Vertragsnummer von allen IP-Adressen außer dem Client. Ist das wirklich so schwierig?

Und ich empfehle den Lesern, ihr persönliches Konto und ihren Anbieter zu überprüfen. Vergessen Sie auf keinen Fall, dass der Benutzer selbst für die Sicherheit seiner persönlichen Daten sorgen muss, und verlassen Sie sich nicht auf andere Personen.

UPD 20.03.2020
Der oben genannte Anbieter hat (zumindest einige) Maßnahmen ergriffen. Es gibt immer noch kein Captcha. Ich habe nicht überprüft, ob ich mich aus anderen Netzwerken anmelden kann, aber ich kann nicht mehr auf das Standardkennwort zugreifen. Er sagt, dass das Passwort nicht stark genug ist und bietet an, sich per Telefon anzumelden (Bestätigung per SMS-Code).

Bild

Nun, danke dafür (wirklich danke, nicht Sarkasmus).

More articles:


All Articles