👨‍❤️‍👨 🙍🏿 👨🏻‍🏭 供应商如何关心客户安全 🛂 👩🏿‍🤝‍👩🏻 👩🏿‍🤝‍👩🏼

你好。在现代世界中，似乎存在着相当明显的概念（即使对于不直接与IT直接相关的普通人而言）。例如，将密码以纯文本格式存储在桌面上的txt中是不好的。但是，不幸的是，乌克兰托管只在2020年1月才意识到这一点。我不会留下任何链接，以免违反规则，但谷歌很快就做到了。但是其他提供商呢？例如，使用Internet提供商。我决定进行一个小实验，并与您分享。我将立即说：我没有恶意的意图，就像没有意图伤害任何人一样。但是有一个目标是要向人们传达出，处理用户数据和个人帐户的责任更大，尤其是如果他们具有自由更改设置的能力。也许如果这种情况被公开，情况将会改变。或者可能不是。谁知道...我仍然会尝试。

前言

坐在朋友的办公室注意到他如何向亲戚支付互联网费用。他进入自己的个人帐户，用卡支付账单。似乎没什么异常。除了在输入合同编号时，他使用该编号作为登录名和密码。我立即向他询问此事，并建议更改密码，他立即做了。我立刻想到。保护个人数据的安全是用户的唯一责任。但是他不是唯一的一个。当然，在此提供程序的大量用户中，有些人不更改密码。此外，如果这些人是老年人，他们甚至可能不了解他。他们通过终端用现金支付互联网费用，并且一直以来都拥有个人帐户，没有任何保护。提供商可能以某种方式解决了这个问题？值得一试。

行动

我问了一个朋友的合同号。基于此，我首先尝试通过不断将数字加1来手动登录用户帐户。成功：20/20。如果该帐户存在并成功输入您的个人帐户，我们认为尝试成功。以下是屏幕截图的示例（隐藏了用户个人数据）。

票证清单：

另一个帐户仍在连接服务：

我感到很难过。也许这是因为我使用了同一提供商的地址？也许如果我通过其他提供商的网络进行连接，他们将不会允许我进入我的个人帐户？在另一个国家中快速建立VPN，朝着从原始数量减少的方向发展。成功：9/10。其中一个帐户不存在。

随后，我编写了一个简单的程序：

登录到您的帐户（如果存在）；
如果该帐户不存在-在数据库中留下相应的标记；
保存数据库匹配的ID，电话号码和连接的服务；
每分钟延迟一次；
转到下一个用户。

分析

实验成功：82/100。在18次失败尝试中-11个不存在的帐户或没有连接服务的帐户，其中7个使用非标准密码的帐户。

根据我什至在现阶段所见，我们可以得出以下结论：

82％的样本使用与登录名和密码相同的字符集，这些字符集是合同编号；
登录表单不受帐户破坏的保护。我从同一IP登录了82个不同的帐户，总共进行了100次尝试；
您的个人帐户没有受到保护，无法企图从另一个网络渗透；
登录表单中没有针对机器人的保护措施。

接收到的数据可以做什么？我们有一个客户电话号码和连接的服务列表。如果我们是竞争提供商，并且以某种方式获得了此类数据，我们可以拨打收到的电话号码并提供更有利的条件。如果没有，我们将拥有一个原则上可以拨打的电话号码数据库。无论我们出售/做广告/提供。如果我们是恶作剧者（那么，还是违反法律的人）-我们可以更改密码，致电向导或禁用该服务。这只是副手，无需多考虑。在任何情况下，这种情况都可用于谋取私利或伤害用户。

后记

我作为一个体面的人，删除了基地。代码，可执行文件和具有VPN的服务器。读者应如何处理收到的信息，这取决于读者的良心。我绝对不希望重复此实验，并且以任何方式使用数据。此外，我敦促所有提供商全面负责其客户和数据。

一般来说，kamon。该提供者拥有一半的客户国家/地区，并且使用默认合同号作为密码。默认情况下使用复杂的密码，在验证码上输入验证码，对暴力进行基本检查，禁止从除客户端以外的所有IP的合同号中输入密码，真的那么难吗？

我建议读者检查他们的个人帐户和提供者。无论如何，请不要忘记用户自己必须照顾好自己的个人数据的安全，不要依赖他人。

UPD 03/20/2020
上述提供者采取了措施（至少一些）。仍然没有验证码，我没有检查从其他网络登录的能力，但是我无法再访问标准密码。他说密码不够强，可以通过电话登录（通过短信验证）。

好吧，对此表示感谢（真的，不是讽刺）。

供应商如何关心客户安全

前言

行动

分析

后记

More articles: