Мегафон — кто угодно может управлять вашим счётом
Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона, то имеется возможность попасть в «Мегафон Сервис-Гид Северо-Запад» без пароля (для других регионов, возможно, существует аналогичная ссылка)
«Мегафон» «знает» что это именно вы сейчас обращаетесь на сайт и даёт такую возможность.
Для запрещения этой фичи в том же Сервис-Гиде есть настройка «Управление автоматическим входом», однако она не работает. Т.е. она находится в позиции запрещено, но на самом деле вход разрешён.
В итоге, вы никогда не трогали эту галочку, убедились что она в позиции «запрещён», но такой вход оказался разрешен.
Какие проблемы безопасности это может вызвать?
1. Если вы раздаёте интернет другим пользователям, все они имеют доступ к управлению вашим лицевым счётом.
2. Такой же доступ имеет всё ПО, которое запущено на всех (ваших) устройствах которым вы раздали интернет. Тут можно возразить что нечего, мол, запускать непонятное (троянское) ПО, однако, один из основных способ защиты от вредоносного ПО — это разграничение привилегий. Здесь же мы видим, что любое ПО с нулевыми привилегиями в системе имеет доступ к вашему лицевому счёту.
3. Вопросы всяких XSS уязвимостей — не изучены.
Да и сам Мегафон, вроде как, понимает опасность. В новой версии «Личного Кабинета» (где такой уязвимости нет), висит предупреждение:
Две недели назад я сообщил об этой проблеме саппорту, однако в ответ мне пришло следующее:
Учитывая что пароль из 120 символов (как рекомендовано здесь habrahabr.ru/post/175939) не очень удобно диктовать по телефону, и то, что пароль, в общем-то, здесь не нужен, я составил новое обращение с просьбой разобраться без пароля. Однако мне ответили стандартной отпиской.
Так же был найдет пост в интернетах cracklover.livejournal.com/20424.html свидетельствующий о том что это проблема уже давно существует, либо регрессия.
Пора писать на хабр, подумал я.
Может такая проблема у одного меня? Задал вопрос на тостере toster.ru/q/239801 — откликнулся один человек и подтвердил проблему.