Get best of the week

Como os provedores se preocupam com a segurança do cliente

Olá. Parece que no mundo moderno existem conceitos bastante óbvios (mesmo para as pessoas comuns que não estão diretamente relacionadas à TI). Por exemplo, armazenar senhas em texto sem formatação em txt na área de trabalho é ruim. Infelizmente, a hospedagem na Ucrânia só percebeu isso em janeiro de 2020. Não deixo um link para não violar as regras, mas o Google rapidamente. Mas e os outros provedores? Por exemplo, com provedores de Internet. Decidi realizar um pequeno experimento e compartilhá-lo com você. Eu direi imediatamente: eu não tinha intenção maliciosa, assim como não havia propósito em prejudicar ninguém. Mas existe um objetivo de transmitir às pessoas que é mais responsável tratar dados de usuários e contas pessoais, especialmente se elas puderem alterar livremente as configurações. Talvez se essa situação for tornada pública, algo mudará. Ou talvez não.Quem sabe ... ainda vou tentar.

Prefácio


Sentado no escritório de um amigo, percebeu como ele paga pela Internet para parentes. Ele entra em sua conta pessoal, paga a conta com um cartão. Parece nada de incomum. Exceto que, ao inserir o número do contrato, ele usa esse número como login e como senha. Perguntei-lhe imediatamente sobre isso e recomendei alterar a senha, o que ele fez imediatamente. Eu pensei imediatamente. Manter os dados pessoais seguros é de responsabilidade exclusiva do usuário. Mas ele não é o único. Certamente, dentre um grande número de usuários desse provedor, existem aqueles que não alteram a senha. Além disso, se estes são idosos, eles podem nem saber sobre ele. Eles pagam em dinheiro pela Internet através do terminal e usam suas contas pessoais esse tempo todo sem nenhuma proteção. Talvez o provedor de alguma forma resolva esse problema? Vale a pena conferir.

Açao


Eu perguntei o número do contrato de um amigo. Com base nisso, primeiro tentei entrar manualmente nas contas de usuário adicionando constantemente 1 ao número. Sucesso: 20/20. Consideramos bem-sucedida a tentativa se a conta existir e conseguirmos entrar na sua conta pessoal. Aqui estão exemplos de capturas de tela (os dados pessoais do usuário estão ocultos).

Lista de tickets:



serviços ainda conectados de outra conta:



fiquei triste. Talvez seja porque eu uso o endereço do mesmo provedor? Talvez se eu conectar da rede de outro provedor, eles não me deixem entrar na minha conta pessoal? Configurar rapidamente uma VPN em outro país, foi na direção de diminuir em relação ao número original. Sucesso: 9/10. Uma das contas não existe.

Posteriormente, escrevi um programa simples que:

  • efetua login na sua conta, se existir;
  • se a conta não existir - deixa a marca correspondente no banco de dados;
  • salva o banco de dados correspondente ao ID, número de telefone e serviços conectados;
  • faz um atraso por minuto;
  • prossegue para o próximo usuário.

Análise


O sucesso do experimento: 82/100. Das 18 tentativas frustradas - 11 contas inexistentes ou contas sem serviços conectados, 7 contas com senhas não padrão.

Com base no que vi mesmo nesta fase, podemos tirar as seguintes conclusões:

  1. 82% da amostra usa o mesmo conjunto de caracteres que login e senha, que em combinação é o número do contrato;
  2. o formulário de login não está protegido contra contas bloqueadas. Entrei em 82 contas diferentes do mesmo IP com 100 tentativas no total;
  3. sua conta pessoal não está protegida contra tentativas de penetração de outra rede;
  4. não há proteção contra robôs no formulário de login.

O que pode ser feito com os dados recebidos? Temos um número de telefone do cliente e uma lista de serviços conectados. Se somos um fornecedor concorrente e, de alguma forma, obtivemos esses dados, podemos ligar para os números recebidos e oferecer condições mais favoráveis. Caso contrário, temos um banco de dados de números de telefone para chamadas em princípio. Tudo o que vendemos / anunciamos / oferecemos. Se somos brincalhões do mal (bem, ou violadores da lei) - podemos alterar a senha, ligar para o assistente ou desativar o serviço. E isso é apenas de improviso, sem muita reflexão. De qualquer forma, essa situação pode ser usada para ganho pessoal ou para prejudicar os usuários.

Posfácio


Eu, como pessoa decente, apaguei a base. Código, arquivos executáveis ​​e um servidor com VPN também. O que o leitor deve fazer com as informações recebidas depende de ele decidir, isso estará em sua consciência. Em nenhum caso, desejo repetir esse experimento e, de qualquer forma, usar os dados. Além disso, exorto todos os provedores a tratarem seus clientes e seus dados com total responsabilidade.

Em geral, Kamon. Esse provedor tem metade do país dos clientes e usa os números de contrato padrão como senhas. Use senhas complexas por padrão, aparafuse o captcha na entrada, faça verificações elementares de força bruta, proíba a entrada pelo número do contrato de todo IP, exceto o cliente, é realmente tão difícil?

E recomendo que os leitores verifiquem sua conta pessoal e seu provedor. De qualquer forma, não esqueça que o próprio usuário deve cuidar da segurança de seus próprios dados pessoais, não confiar em outra pessoa.

UPD 20/03/2020
O fornecedor mencionado tomou medidas (pelo menos algumas). Ainda não há captcha, não verifiquei a capacidade de fazer login em outras redes, mas não consigo mais acessar a senha padrão. Ele diz que a senha não é forte o suficiente e oferece o acesso via telefone (confirmação por código SMS).

imagem

Bem, obrigado por isso (muito obrigado, não sarcasmo).

More articles:


All Articles