Форум по программам и оборудованию > >

Возможная утечка данных в личном кабинете Билайн

15.11.2019 19:09


20.09.2017 22:53
OlegON
 



Могу с уверенностью сказать, что, если вы пользуетесь каким-либо онлайн-сервисом, то пользуетесь и его личным кабинетом. Сначала вводите пароль, потом подтверждаете свое право на вход с помощью телефона. Ореол секретности создает ощущение, что теперь-то уж никто не подглядывает и вы один на один с тем, кому доверили свои данные. К моему большому сожалению, похоже, что практически каждый сервис дает доступ к вам кабинет еще массе народа. После небольшого исследования у меня пропал дар речи, как если бы я увидел в комнате для вскрытия банковских ячеек видеокамеру с трансляцией на Youtube. Впрочем, про банк я уже писал, тему усилиями СМИ замяли, давайте попробуем разобраться, как с этим у сотовых операторов.

Итак, поскольку у меня номер от Beeline, то препарировать мы будем именно их личный кабинет. Ничего фатального и особо критичного для утечки там, конечно, нет, однако, как я уже говорил, есть и более интересные ресурсы, но совсем личные данные я на скриншоты и видео бы затруднился снять. А кому-то может и неприятно, что его номера и баланс доступны третьим лицам.






Уже на входе нас встречает пачка сторонних ресурсов. Это скрипты, которые загружаются с совершенно посторонних ресурсов, никак в процессе загрузки оригинальным сайтом не контролируются, зато имеют доступ практически ко всему содержимому. "Доступ" - это значит, что скрипт, программа для браузера, может, как забрать какие-то данные со страницы, так и изменить их. А так же может выполнить ряд каких-то действий за вас или предложить вам что-нибудь интимное увеличить, например, либо предложить установить какую-то программу, которую, как вы будете думать, устанавливаете с официального сайта.

Я саму суть постараюсь разжевать, поэтому хотелось бы увидеть в комментариях, находятся ли аналогичные скрипты в других личных кабинетах. Для тех, кто любит смотреть, в конце статьи видео.

Да, я пробовал сообщить в Билайн о том, что это плохо и неправильно, если кто-то хочет, может почитать смешную переписку у меня на форуме https://olegon.ru/showthread.php?t=27126, суть ее в том, что несколько дней меня выспрашивали, какими браузерами я пользуюсь и просили прислать скриншот скриптов. В общем, не сильно разбирающиеся сотрудники просто искали повод отфутболить, а не принять проблему. Закончилось ожидаемо.




мне же стало интересно, а кому, собственно, данные не попадают? Открываем кабинет и смотрим в браузере Chrome, какие скрипты выполняются. И смех и грех.




тут и Facebook, и Google, и Twitter, и MailRu, Criteo, Rutarget, даже счетчик от Top100. Если смотреть не на скрипты, а во все ресурсы, то там еще и ВКонтакте с каким-то хешем светится, впрочем, от него тоже скрипты есть. Если вы отвлеклись на перечень сервисов, напомню, это все те, кто с вами в личном кабинете, смотрит, что вы делаете, может видеть, сколько денег у вас на счету, в общем, видит то же, что видите в личном кабинете и вы. Понятное дело, что у многих этот букет еще и тормозит, т.е. вы расплачиваетесь самым дорогим, что у вас есть - временем, а некоторые и нервами впридачу.

Мимоходом упомяну, что скрипты могут подменить и третьи лица https://olegon.ru/showthread.php?t=27433 причем, эти лица могут и SMS перехватывать , впрочем, для текущего разбора хватит и того, что огромное количество организаций, скорее всего, совершенно не имеющих отношения к вам, в курсе того, что, казалось бы, глубоко запаролено.

На всякий случай поясню, каким образом можно посмотреть, подложили ли свинью в ваш личный кабинет. Например, с помощью браузера Chrome. Заходите в личный кабинет, нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого не должно быть никаких "чужих" адресов, только принадлежащие тому ресурсу, на котором вы находитесь. Крайне желательно, конечно, чтобы в этот момент все расширения браузера были выключены. Найдете что-то интересное - пишите, какой ресурс и что подключает в личный кабинет.

Если у кого-то есть знание или мысли, почему настолько популярно подключение скриптов, что это - глупость и некомпетентность, продажа данных за деньги или что-то другое, тоже хотелось бы это увидеть в комментариях.

Обещанное видео, извините, если невнятно, очень уставший под вечер:



P.S. Тут вот про МТС: https://olegon.ru/showthread.php?t=27893
21.09.2017 08:42
Dim
 
научи как с olegon.ru напрямую Путину позвонить? сосед интересуется
21.09.2017 08:47
Dim
 
сейчас ты подкинул вирусописателям идею... в ближайшее время ждем вирусы, подменяющие hosts
21.09.2017 08:54
OlegON
 
думаешь, они раньше не знали? именно, что дыра, на которую последовательно все забивают.
21.09.2017 10:39
baggio
 
Цитата:
Dim сейчас ты подкинул вирусописателям идею... в ближайшее время ждем вирусы, подменяющие hosts
палевно слишком host контролируются антивирусами...
проще свой dns прописать который будет в нужный момент возвращять то что нужно... и ни один антивирь не поймает...
21.09.2017 12:54
OlegON
 
Еще раз по сути происходящего.

Есть компания Билайн (МТС там же, как и многие другие, не суть).
Они пишут сайт, в который закладывают секретности и какой-то функционал, где (я верю в это) личные данные никто править не должен и они наружу никуда не утекают.

Для того, чтобы собирать статистику по своим пользователям, они ленятся и пользуются чужими скриптами. Т.е. браузерам пользователей они в своем сайте дают команду - зайдите на другой сервер и возьмите там скрипт для статистики. Какой этот скрипт в данный момент времени знают только владельцы другого сервера. Что он делает, владельцы сайта Билайна не могут знать. Более того, браузерам пользователя можно сказать, чтобы скрипты брались откуда-то еще и тогда количество тех, кто может их поменять, резко возрастает. Владельцы же серверов статистики и прочих вставок вообще без проблем могут собирать все, до чего дотянутся. Куда им захочется дотянуться, тоже уверен, владельцы основных сайтов вообще не представляют.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.