Get best of the week

Cómo se preocupan los proveedores por la seguridad del cliente

Hola. Parecería que en el mundo moderno hay conceptos bastante obvios (incluso para la persona promedio no relacionada directamente con TI). Por ejemplo, almacenar contraseñas en texto sin formato en txt en el escritorio es malo. Pero, el alojamiento de Ucrania, desafortunadamente, solo se dio cuenta de esto en enero de 2020. No dejo un enlace, para no romper las reglas, pero google rápidamente. ¿Pero qué hay de otros proveedores? Por ejemplo, con proveedores de Internet. Decidí realizar un pequeño experimento y compartirlo contigo. Diré de inmediato: no tuve intenciones maliciosas, así como no había ningún propósito en dañar a nadie. Pero existe el objetivo de transmitir a las personas que es más responsable tratar los datos de los usuarios y las cuentas personales, especialmente si tienen la capacidad de cambiar libremente la configuración. Quizás si esta situación se hace pública, algo cambiará. O tal vez no.Quién sabe ... aún lo intentaré.

Prefacio


Sentado en la oficina de un amigo se dio cuenta de cómo paga por Internet a sus familiares. Entra en su cuenta personal, paga la factura con una tarjeta. Parecería nada inusual. Excepto que cuando ingresa el número de contrato, usa este número como inicio de sesión y como contraseña. Inmediatamente le pregunté sobre esto, y recomendé cambiar la contraseña, lo que hizo de inmediato. Pensé de inmediato. Mantener seguros los datos personales es responsabilidad exclusiva del usuario. Pero él no es el único. Seguramente de una gran cantidad de usuarios de este proveedor hay quienes no cambian la contraseña. Además, si se trata de personas mayores, es posible que ni siquiera sepan de él. Van a pagar por Internet a través de la terminal en efectivo, y han estado usando su cuenta personal todo este tiempo sin ninguna protección. ¿Quizás el proveedor de alguna manera resuelve este problema? Vale la pena echarle un vistazo.

Acción


Le pedí el número de contrato a un amigo. En base a esto, primero intenté iniciar sesión manualmente en las cuentas de usuario agregando constantemente 1 al número. Éxito: 20/20. Consideramos exitoso el intento si la cuenta existe y logramos ingresar su cuenta personal. Aquí hay ejemplos de capturas de pantalla (los datos personales del usuario están ocultos).

Lista de tickets: Servicios



aún conectados desde otra cuenta:



me sentí triste. ¿Quizás esto se deba a que uso la dirección del mismo proveedor? ¿Quizás si me conecto desde la red de otro proveedor no me dejarán ingresar a mi cuenta personal? Configurar rápidamente una VPN en otro país, fue en la dirección de disminuir desde el número original. Éxito: 9/10. Una de las cuentas no existe.

Posteriormente, escribí un programa simple que:

  • inicia sesión en su cuenta si existe;
  • si la cuenta no existe: deja la marca correspondiente en la base de datos;
  • guarda la identificación de la base de datos, el número de teléfono y los servicios conectados;
  • hace un retraso por minuto;
  • procede al siguiente usuario.

Análisis


El éxito del experimento: 82/100. De los 18 intentos fallidos: 11 cuentas inexistentes o cuentas sin servicios conectados, 7 cuentas con contraseñas no estándar.

Basado en lo que vi incluso en esta etapa, podemos sacar las siguientes conclusiones:

  1. El 82% de la muestra usa el mismo juego de caracteres que el nombre de usuario y la contraseña, que en combinación es el número de contrato;
  2. el formulario de inicio de sesión no está protegido contra la ruptura de cuentas. Ingresé a 82 cuentas diferentes desde la misma IP con 100 intentos en total;
  3. su cuenta personal no está protegida contra intentos de penetración desde otra red;
  4. no hay protección contra robots en el formulario de inicio de sesión.

¿Qué se puede hacer con los datos recibidos? Tenemos un número de teléfono del cliente y una lista de servicios conectados. Si somos un proveedor de la competencia y de alguna manera obtuvimos dichos datos, podemos llamar a los números recibidos y ofrecer condiciones más favorables. Si no, tenemos una base de datos de números de teléfono para llamar en principio. Lo que vendemos / publicitamos / ofrecemos. Si somos bromistas malvados (bueno, o infractores de la ley), podemos cambiar la contraseña, llamar al asistente o deshabilitar el servicio. Y esto es casual, sin pensarlo mucho. En cualquier caso, esta situación se puede utilizar para beneficio personal o para perjudicar a los usuarios.

Epílogo


Yo, como persona decente, eliminé la base. Código, archivos ejecutables y un servidor con VPN también. Lo que el lector debe hacer con la información recibida es decisión del lector, dependerá de su conciencia. En ningún caso insto a repetir este experimento, y de ninguna manera usar los datos. Además, insto a todos los proveedores a tratar a sus clientes y sus datos con total responsabilidad.

En general, kamon. Este proveedor tiene la mitad del país de clientes y utiliza los números de contrato predeterminados como contraseñas. Utilice contraseñas complejas de forma predeterminada, atornille el captcha en la entrada, realice comprobaciones elementales de fuerza bruta, prohíba la entrada por el número de contrato de todas las IP excepto el cliente, ¿es realmente tan difícil?

Y recomiendo a los lectores que verifiquen su cuenta personal y su proveedor. En cualquier caso, no olvide que el propio usuario debe cuidar la seguridad de sus propios datos personales, no confiar en otra persona.

UPD 20/03/2020
El proveedor mencionado tomó medidas (al menos algunas). Todavía no hay captcha, no verifiqué la capacidad de iniciar sesión desde otras redes, pero ya no puedo acceder a la contraseña estándar. Él dice que la contraseña no es lo suficientemente segura y ofrece iniciar sesión por teléfono (confirmación por código SMS).

imagen

Bueno, gracias por eso (realmente gracias, no sarcasmo).

More articles:


All Articles