Get best of the week

Comment les fournisseurs se soucient de la sécurité des clients

Bonjour. Il semblerait que dans le monde moderne, il existe des concepts assez évidents (même pour la personne moyenne non directement liée aux TI). Par exemple, le stockage des mots de passe en texte brut en txt sur le bureau est mauvais. Mais, l'hébergement en ukraine, malheureusement, ne l'a réalisé qu'en janvier 2020. Je ne laisse pas de lien, afin de ne pas enfreindre les règles, mais google rapidement. Mais qu'en est-il des autres fournisseurs? Par exemple, avec des fournisseurs Internet. J'ai décidé de mener une petite expérience et de la partager avec vous. Je dirai tout de suite: je n'avais aucune intention malveillante, tout comme il n'y avait aucun but de nuire à qui que ce soit. Mais il y a un objectif de faire comprendre aux gens qu'il est plus responsable de traiter les données des utilisateurs et les comptes personnels, surtout s'ils ont la possibilité de modifier librement les paramètres. Peut-être que si cette situation est rendue publique, quelque chose va changer. Ou peut être pas.Qui sait ... je vais encore essayer.

Préface


Assis au bureau d'un ami, il a remarqué comment il payait Internet à ses proches. Il va dans son compte personnel, paie la facture avec une carte. Cela ne semblerait pas inhabituel. Sauf que lors de la saisie du numéro de contrat, il utilise ce numéro à la fois comme identifiant et comme mot de passe. Je lui ai immédiatement posé des questions à ce sujet et j'ai recommandé de changer le mot de passe, ce qu'il a fait immédiatement. J'ai tout de suite pensé. La protection des données personnelles est de la seule responsabilité de l'utilisateur. Mais il n'est pas le seul. Certes, parmi un grand nombre d'utilisateurs de ce fournisseur, il y a ceux qui ne changent pas le mot de passe. De plus, s'il s'agit de personnes âgées, elles peuvent même ne pas le connaître. Ils vont payer Internet via le terminal en espèces, et ils utilisent leur compte personnel pendant tout ce temps sans aucune protection. Peut-être que le fournisseur résout en quelque sorte ce problème? Cela vaut la peine de le vérifier.

action


J'ai demandé le numéro de contrat à un ami. Sur cette base, j'ai d'abord essayé de me connecter manuellement aux comptes d'utilisateurs en ajoutant constamment 1 au numéro. Succès: 20/20. Nous considérons que la tentative a réussi si le compte existe et a réussi à entrer dans votre compte personnel. Voici des exemples de captures d'écran (les données personnelles de l'utilisateur sont masquées).

Liste des billets:



Services toujours connectés à partir d'un autre compte:



je me sentais triste. C'est peut-être parce que j'utilise l'adresse du même fournisseur? Peut-être que si je me connecte depuis le réseau d'un autre fournisseur, ils ne me laisseront pas accéder à mon compte personnel? Mettre en place rapidement un VPN dans un autre pays, va dans le sens d'une diminution par rapport au nombre d'origine. Succès: 9/10. L'un des comptes n'existe pas.

Par la suite, j'ai écrit un programme simple qui:

  • se connecte à votre compte s'il existe;
  • si le compte n'existe pas - laisse la marque correspondante dans la base de données;
  • enregistre l'ID correspondant à la base de données, le numéro de téléphone et les services connectés;
  • fait un retard par minute;
  • passe à l'utilisateur suivant.

Une analyse


Le succès de l'expérience: 82/100. Sur les 18 tentatives infructueuses - 11 comptes inexistants ou comptes sans services connectés, 7 comptes avec des mots de passe non standard.

Sur la base de ce que j'ai vu même à ce stade, nous pouvons tirer les conclusions suivantes:

  1. 82% de l'échantillon utilise le même jeu de caractères que l'identifiant et le mot de passe, qui en combinaison est le numéro de contrat;
  2. le formulaire de connexion n'est pas protégé contre la destruction de comptes. Je me suis connecté à 82 comptes différents à partir de la même IP avec 100 tentatives au total;
  3. votre compte personnel n'est pas protégé contre les tentatives de pénétration d'un autre réseau;
  4. il n'y a aucune protection contre les robots dans le formulaire de connexion.

Que peut-on faire avec les données reçues? Nous avons un numéro de téléphone client et une liste de services connectés. Si nous sommes un fournisseur concurrent et que nous avons en quelque sorte obtenu ces données, nous pouvons appeler les numéros reçus et offrir des conditions plus favorables. Sinon, nous avons une base de données de numéros de téléphone pour appeler en principe. Tout ce que nous vendons / annonçons / offrons. Si nous sommes de mauvais farceurs (enfin, ou des contrevenants à la loi) - nous pouvons changer le mot de passe, appeler l'assistant ou désactiver le service. Et c'est juste désinvolte, sans trop y penser. Dans tous les cas, cette situation peut être utilisée soit pour un gain personnel, soit pour nuire aux utilisateurs.

Épilogue


En tant que personne décente, j'ai supprimé la base. Du code, des fichiers exécutables et un serveur avec VPN également. Ce que le lecteur doit faire avec les informations reçues, c'est au lecteur d'en décider, ce sera sur sa conscience. En aucun cas, je ne demande instamment de répéter cette expérience, et en aucune façon utiliser les données. De plus, j'exhorte tous les fournisseurs à traiter leurs clients et leurs données en toute responsabilité.

En général, Kamon. Ce fournisseur possède la moitié du pays des clients et utilise les numéros de contrat par défaut comme mots de passe. Utilisez des mots de passe complexes par défaut, vissez le captcha sur l'entrée, faites des vérifications élémentaires de la force brute, interdisez l'entrée par le numéro de contrat de toutes les adresses IP à l'exception du client, est-ce vraiment si difficile?

Et je recommande aux lecteurs de vérifier leur compte personnel et leur fournisseur. Dans tous les cas, n'oubliez pas que l'utilisateur lui-même doit veiller à la sécurité de ses propres données personnelles, ne pas compter sur quelqu'un d'autre.

UPD 20/03/2020
Le fournisseur susmentionné a pris des mesures (au moins certaines). Il n'y a toujours pas de captcha, je n'ai pas vérifié la possibilité de me connecter à partir d'autres réseaux, mais je ne peux plus accéder au mot de passe standard. Il dit que le mot de passe n'est pas assez fort et propose de se connecter par téléphone (confirmation par code SMS).

image

Eh bien, merci pour ça (vraiment merci, pas de sarcasme).

More articles:


All Articles