Get best of the week

Bagaimana penyedia peduli tentang keamanan pelanggan

Halo. Tampaknya di dunia modern ada konsep yang cukup jelas (bahkan untuk orang kebanyakan yang tidak terkait langsung dengan TI). Misalnya, menyimpan kata sandi dalam plaintext di txt pada desktop adalah buruk. Tetapi, hosting ukraina, sayangnya, baru menyadari hal ini pada Januari 2020. Saya tidak meninggalkan tautan, agar tidak melanggar aturan, tetapi google dengan cepat. Tetapi bagaimana dengan penyedia lain? Misalnya dengan penyedia layanan internet. Saya memutuskan untuk melakukan percobaan kecil, dan membagikannya kepada Anda. Saya akan segera mengatakan: Saya tidak punya niat jahat, sama seperti tidak ada tujuan untuk menyakiti siapa pun. Tetapi ada tujuan untuk menyampaikan kepada orang-orang bahwa lebih bertanggung jawab untuk memperlakukan data pengguna dan akun pribadi, terutama jika mereka memiliki kemampuan untuk mengubah pengaturan secara bebas. Mungkin jika situasi ini dipublikasikan, sesuatu akan berubah. Atau mungkin tidak.Siapa tahu ... saya masih akan mencoba.

Kata pengantar


Duduk di kantor teman memperhatikan bagaimana ia membayar untuk Internet kepada kerabat. Dia masuk ke akun pribadinya, membayar tagihan dengan kartu. Tampaknya tidak ada yang aneh. Kecuali bahwa ketika memasukkan nomor kontrak dia menggunakan nomor ini baik sebagai login maupun sebagai kata sandi. Saya segera bertanya kepadanya tentang hal ini, dan merekomendasikan untuk mengganti kata sandi, yang segera dia lakukan. Saya langsung berpikir. Menjaga keamanan data pribadi adalah tanggung jawab pengguna. Tapi dia bukan satu-satunya. Tentunya dari sejumlah besar pengguna penyedia ini ada yang tidak mengubah kata sandi. Selain itu, jika ini adalah orang tua, mereka mungkin tidak tahu tentang dia. Mereka pergi untuk membayar Internet melalui terminal secara tunai, dan mereka telah menggunakan akun pribadi mereka selama ini tanpa perlindungan apa pun. Mungkin penyedia entah bagaimana menyelesaikan masalah ini? Ada baiknya memeriksanya.

Tindakan


Saya menanyakan nomor kontrak dari seorang teman. Berdasarkan itu, saya pertama kali secara manual mencoba masuk ke akun pengguna dengan terus menambahkan 1 ke nomor tersebut. Sukses: 20/20. Kami menganggap upaya ini berhasil jika akun itu ada dan berhasil memasuki akun pribadi Anda. Berikut adalah contoh tangkapan layar (data pribadi pengguna disembunyikan).

Daftar tiket: Layanan yang



masih terhubung dari akun lain:



Saya merasa sedih. Mungkin ini karena saya menggunakan alamat dari penyedia yang sama? Mungkin jika saya terhubung dari jaringan penyedia lain mereka tidak akan membiarkan saya masuk ke akun pribadi saya? Cepat mengatur VPN di negara lain, pergi ke arah penurunan dari nomor aslinya. Sukses: 9/10. Salah satu akun tidak ada.

Selanjutnya, saya menulis sebuah program sederhana yang:

  • login ke akun Anda jika ada;
  • jika akun tidak ada - meninggalkan tanda yang sesuai dalam database;
  • menyimpan ID pencocokan database, nomor telepon dan layanan yang terhubung;
  • membuat penundaan per menit;
  • hasil ke pengguna berikutnya.

Analisis


Keberhasilan percobaan: 82/100. Dari 18 upaya yang gagal, 11 akun tidak ada, atau akun tanpa layanan terhubung, 7 akun dengan kata sandi tidak standar.

Berdasarkan apa yang saya lihat bahkan pada tahap ini, kita dapat menarik kesimpulan berikut:

  1. 82% dari sampel menggunakan karakter yang sama seperti login dan kata sandi, yang dalam kombinasi adalah nomor kontrak;
  2. formulir login tidak dilindungi dari penghancuran akun. Saya masuk ke 82 akun berbeda dari IP yang sama dengan total 100 upaya;
  3. akun pribadi Anda tidak terlindungi dari upaya penetrasi dari jaringan lain;
  4. tidak ada perlindungan terhadap robot dalam formulir masuk.

Apa yang bisa dilakukan dengan data yang diterima? Kami memiliki nomor telepon pelanggan dan daftar layanan yang terhubung. Jika kami adalah penyedia yang bersaing, dan entah bagaimana kami mendapatkan data tersebut, kami dapat memanggil nomor yang diterima dan menawarkan kondisi yang lebih menguntungkan. Jika tidak, kami memiliki basis data nomor telepon untuk panggilan pada prinsipnya. Apa pun yang kami jual / iklankan / tawarkan. Jika kita adalah pelawak jahat (yah, atau pelanggar hukum) - kita dapat mengubah kata sandi, memanggil penyihir, atau menonaktifkan layanan. Dan ini begitu saja, tanpa banyak pemikiran. Bagaimanapun, situasi ini dapat digunakan untuk keuntungan pribadi atau untuk merugikan pengguna.

Kata penutup


Saya, sebagai orang yang layak, menghapus basis. Kode, file yang dapat dieksekusi, dan server dengan VPN juga. Apa yang harus dilakukan pembaca dengan informasi yang diterima adalah terserah pembaca untuk memutuskan, itu akan berdasarkan nuraninya. Dalam kasus apa pun saya tidak mendesak untuk mengulangi percobaan ini, dan dengan cara apa pun menggunakan data. Selain itu, saya mendesak semua penyedia untuk memperlakukan pelanggan dan data mereka dengan penuh tanggung jawab.

Secara umum, kamon. Penyedia ini memiliki setengah negara pelanggan, dan menggunakan nomor kontrak default sebagai kata sandi. Gunakan kata sandi yang rumit secara default, sekrup captcha pada input, lakukan pemeriksaan dasar untuk brute force, larangan masuk dengan nomor kontrak dari semua IP kecuali klien, apakah benar-benar sulit?

Dan saya merekomendasikan pembaca untuk memeriksa akun pribadi dan penyedia mereka. Dalam hal apa pun, jangan lupa bahwa pengguna sendiri harus menjaga keamanan data pribadinya sendiri, jangan bergantung pada orang lain.

UPD 03/20/2020
Penyedia tersebut mengambil tindakan (setidaknya beberapa). Masih belum ada captcha, saya tidak memeriksa kemampuan untuk masuk dari jaringan lain, tetapi saya tidak dapat mengakses kata sandi standar lagi. Dia mengatakan bahwa kata sandi tidak cukup kuat, dan menawarkan untuk masuk melalui telepon (konfirmasi dengan kode SMS).

gambar

Yah, terima kasih untuk itu (terima kasih, bukan sarkasme).

More articles:


All Articles