█ 20.09.2017 22:53
Могу с уверенностью сказать, что, если вы пользуетесь каким-либо онлайн-сервисом, то пользуетесь и его личным кабинетом. Сначала вводите пароль, потом подтверждаете свое право на вход с помощью телефона. Ореол секретности создает ощущение, что теперь-то уж никто не подглядывает и вы один на один с тем, кому доверили свои данные. К моему большому сожалению, похоже, что практически каждый сервис дает доступ к вам кабинет еще массе народа. После небольшого исследования у меня пропал дар речи, как если бы я увидел в комнате для вскрытия банковских ячеек видеокамеру с трансляцией на Youtube. Впрочем, про банк я уже писал, тему усилиями СМИ замяли, давайте попробуем разобраться, как с этим у сотовых операторов.
Итак, поскольку у меня номер от Beeline, то препарировать мы будем именно их личный кабинет. Ничего фатального и особо критичного для утечки там, конечно, нет, однако, как я уже говорил, есть и более интересные ресурсы, но совсем личные данные я на скриншоты и видео бы затруднился снять. А кому-то может и неприятно, что его номера и баланс доступны третьим лицам.
Уже на входе нас встречает пачка сторонних ресурсов. Это скрипты, которые загружаются с совершенно посторонних ресурсов, никак в процессе загрузки оригинальным сайтом не контролируются, зато имеют доступ практически ко всему содержимому. "Доступ" - это значит, что скрипт, программа для браузера, может, как забрать какие-то данные со страницы, так и изменить их. А так же может выполнить ряд каких-то действий за вас или предложить вам что-нибудь интимное увеличить, например, либо предложить установить какую-то программу, которую, как вы будете думать, устанавливаете с официального сайта.
Я саму суть постараюсь разжевать, поэтому хотелось бы увидеть в комментариях, находятся ли аналогичные скрипты в других личных кабинетах. Для тех, кто любит смотреть, в конце статьи видео.
Да, я пробовал сообщить в Билайн о том, что это плохо и неправильно, если кто-то хочет, может почитать смешную переписку у меня на форуме https://olegon.ru/showthread.php?t=27126, суть ее в том, что несколько дней меня выспрашивали, какими браузерами я пользуюсь и просили прислать скриншот скриптов. В общем, не сильно разбирающиеся сотрудники просто искали повод отфутболить, а не принять проблему. Закончилось ожидаемо.
мне же стало интересно, а кому, собственно, данные не попадают? Открываем кабинет и смотрим в браузере Chrome, какие скрипты выполняются. И смех и грех.
тут и Facebook, и Google, и Twitter, и MailRu, Criteo, Rutarget, даже счетчик от Top100. Если смотреть не на скрипты, а во все ресурсы, то там еще и ВКонтакте с каким-то хешем светится, впрочем, от него тоже скрипты есть. Если вы отвлеклись на перечень сервисов, напомню, это все те, кто с вами в личном кабинете, смотрит, что вы делаете, может видеть, сколько денег у вас на счету, в общем, видит то же, что видите в личном кабинете и вы. Понятное дело, что у многих этот букет еще и тормозит, т.е. вы расплачиваетесь самым дорогим, что у вас есть - временем, а некоторые и нервами впридачу.
Мимоходом упомяну, что скрипты могут подменить и третьи лица https://olegon.ru/showthread.php?t=27433 причем, эти лица могут и SMS перехватывать , впрочем, для текущего разбора хватит и того, что огромное количество организаций, скорее всего, совершенно не имеющих отношения к вам, в курсе того, что, казалось бы, глубоко запаролено.
На всякий случай поясню, каким образом можно посмотреть, подложили ли свинью в ваш личный кабинет. Например, с помощью браузера Chrome. Заходите в личный кабинет, нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого не должно быть никаких "чужих" адресов, только принадлежащие тому ресурсу, на котором вы находитесь. Крайне желательно, конечно, чтобы в этот момент все расширения браузера были выключены. Найдете что-то интересное - пишите, какой ресурс и что подключает в личный кабинет.
Если у кого-то есть знание или мысли, почему настолько популярно подключение скриптов, что это - глупость и некомпетентность, продажа данных за деньги или что-то другое, тоже хотелось бы это увидеть в комментариях.
Обещанное видео, извините, если невнятно, очень уставший под вечер:
P.S. Тут вот про МТС: https://olegon.ru/showthread.php?t=27893
█ 21.09.2017 08:42
научи как с olegon.ru напрямую Путину позвонить? сосед интересуется
█ 21.09.2017 08:47
сейчас ты подкинул вирусописателям идею... в ближайшее время ждем вирусы, подменяющие hosts
█ 21.09.2017 08:54
думаешь, они раньше не знали? именно, что дыра, на которую последовательно все забивают.
█ 21.09.2017 12:54
Еще раз по сути происходящего.
Есть компания Билайн (МТС там же, как и многие другие, не суть).
Они пишут сайт, в который закладывают секретности и какой-то функционал, где (я верю в это) личные данные никто править не должен и они наружу никуда не утекают.
Для того, чтобы собирать статистику по своим пользователям, они ленятся и пользуются чужими скриптами. Т.е. браузерам пользователей они в своем сайте дают команду - зайдите на другой сервер и возьмите там скрипт для статистики. Какой этот скрипт в данный момент времени знают только владельцы другого сервера. Что он делает, владельцы сайта Билайна не могут знать. Более того, браузерам пользователя можно сказать, чтобы скрипты брались откуда-то еще и тогда количество тех, кто может их поменять, резко возрастает. Владельцы же серверов статистики и прочих вставок вообще без проблем могут собирать все, до чего дотянутся. Куда им захочется дотянуться, тоже уверен, владельцы основных сайтов вообще не представляют.
Есть компания Билайн (МТС там же, как и многие другие, не суть).
Они пишут сайт, в который закладывают секретности и какой-то функционал, где (я верю в это) личные данные никто править не должен и они наружу никуда не утекают.
Для того, чтобы собирать статистику по своим пользователям, они ленятся и пользуются чужими скриптами. Т.е. браузерам пользователей они в своем сайте дают команду - зайдите на другой сервер и возьмите там скрипт для статистики. Какой этот скрипт в данный момент времени знают только владельцы другого сервера. Что он делает, владельцы сайта Билайна не могут знать. Более того, браузерам пользователя можно сказать, чтобы скрипты брались откуда-то еще и тогда количество тех, кто может их поменять, резко возрастает. Владельцы же серверов статистики и прочих вставок вообще без проблем могут собирать все, до чего дотянутся. Куда им захочется дотянуться, тоже уверен, владельцы основных сайтов вообще не представляют.
Часовой пояс GMT +3, время: 08:34.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.