stranichko.org.ua feedback на платформе

уязвимость в системе my.djuice.ua

Вчера нашел уязвимость в системе самообслуживания my.djuice.ua, которая позволяет злоумышленнику получить пусть и не полную, но достаточно исчерпывающую статистику по номеру другого абонента, в случае, если тот также является зарегистрированным пользователем системы самообслуживания. Уязвимость пустяковая, и все из-за маленьких зарплат элементарного недосмотра программистов, но все равно, будь я злоумышленником, уже бы пожалуй нашел бы применение данной «фиче» (хотя кому нужны бомжилюди, пользующиеся prepaid-услугами?).

Итак, я сразу же накатал кляузу на их электропочту. Забавно, что одна из электронок, которую я с горем пополам все-же нашел у них на сайте, оказалась успешно забитой битком, о чем мне радостно поведал бот, еще и представившись, между делом 😉 ну вы понели… Короче, нашел другой адрес и отправил туда. Происходило это вчера (нет, чтоб по девушкам шляться 8 марта), но до сих пор никакой ответной реакции не поступило. Если так будет и дальше, планирую связаться с ними по телефону, но в любом случае планирую выложить подробности сюда, в эту статью, хотя все-же постараюсь дождаться того момента, когда они дыру залатают. Так-что следите за обновлениями.

Напоминаю, что можно подписаться на обновления моего блога по RSS, всего лишь нажав на ЭТУ ссылку, или на значок RSS в шапке блога, или в конце концов — нажав на такой коричневенький квадратик, выглядывающий из-под туалетноймятой бумажки в самом низу блога.

UPD 17.04.11. Итак, после моих многочисленных попыток достучаться до сознания хоть кого-нибудь (даже не важно кого) из персонала Киевстара, утратив надежду на чью либо заинтересованность в делах компании — я получил коротенькое письмо, где мне даже сказали лаконичное «Спасибо», и уверили, что некто из IT-отдела взялся за устранение неполадок!!! За сим, все-таки через месяц у меня дошли руки проверить, все ли было исправлено и проверить некоторые свои догадки. Все видимое уже залатано, поэтому успешно выкладываю реализацию этого простейшего трюка, с помощью которого я и мог видеть статистику по чужому номеру.

Суть проблемы состояла в том, что несмотря на различные токены, по недосмотру программистов, которые, видимо, дописывали систему — при выгрузке статистики по номеру в файл номер абонента передавался все так же, открытым текстом в виде значения одного из параметров при POST-запросе. Итак, для воспроизведения фокуса нам понадобится Mozilla Firefox с установленным дополнением TamperData. Далее — логинимся в систему, переходим на вкладку Затраты, далее — Отчеты, выбираем период и тип отчета, нажимаем «Сохранить в файл». После того, как страница перезагрузится и вместо кнопки «Сохранить в файл» появится кнопка выбора формата выгрузки запускаем TemperData из меню Инструменты Firefox. В появившемся окошке нажимаем «Запустить перехват», а на сайте нажимаем на кнопку Загрузить, возле окошка выбора формата файла. При этом TamperData выдаст вопрос, что делать с запросом, на что отвечаем «Вмешаться». Итак, в этом запросе ранее присутствовал параметр mtnNo, где был заполнен мой номер телефона. Достаточно было поменять цифры, и на компьютер загружался файл со статистикой по чужому номеру. Соглашусь — информация в отчетах не настолько детализированная, но достаточно информативная.

Дисклеймер
Уточню, что данная уязвимость была найдена случайно и в процессе не преследовались какие-либо противозаконные цели и выгоды. Информация была получена по номеру моего родственника с его последующего согласия. Последователям посоветую освежить в памяти текст статьи 363 (Раздела XVI, Криминального Кодекса Украины).

Всем спасибо за внимание.

VN:F [1.8.8_1072]
Rating: 5.0/5 (1 vote cast)
уязвимость в системе my.djuice.ua5.051
12 577 просмотров

Один комментарий на “уязвимость в системе my.djuice.ua”

  • Pit:

    Так саму темку и не раскрыл, а когда залатают уже невозможно будет проверить

Оставить комментарий

(обязательно)