|
ВНИМАНИЕ! Не попадитесь на платные подписки компании Мегафон. Сразу скажу, что тех. заявку у меня уже приняли и ею занимаются, но дыра пока не устранена. В чем суть. Заходим на известный шаринговый сервис депозитфайлес через инет от Меги с компа (с любого браузера, лишь бы JS не был выключен, не важно, сотовый модем, или телефон подключенный как модем, лишь бы сим-карта была ОБЯЗАТЕЛЬНО от Меги): [url]http://depositfiles.com[/url] видим как обычно это: [img]http://s004.radikal.ru/i206/1206/5f/8fe8bd68f941.jpg[/img] и теперь либо для теста заливаем на него любой свой файл (и его качаем), либо пытаемся с него скачать любой файл, уже там ранее размещенный. например, так: [img]http://i066.radikal.ru/1206/6f/1cd3bd999ad8.jpg[/img] выбираем режим "Скачать бесплатно" и НЕМЕДЛЕННО видим такой банер (сработавший через JS-скрипт, расположенный на депозите): [img]http://s017.radikal.ru/i408/1206/4f/9e85c929fd41.jpg[/img] ессно, номер высвечивает РЕАЛЬНЫЙ, тот что на симке! и ТОЛЬКО если вы в инете через МЕГУ. на билайне, МТС и т.д. дыра не срабатывает. при этом в фоне идет еще и редирект на wap. megafonpro.ru (официальный домен Меги, где вероятно эксплуатируется XSS-уязвимость, позволяющая "выдирать" данные о номерах) те кто в теме понимают, что именно произойдет если 9 из 10 пользователей (как пить дать!) нажмут на большую зеленую кнопку? но даже не это беда. беда в грубейшем нарушении закона (конечно только если имеет место сговор Меги и депозита, а не просто случайная техническая дыра) в том, что идет РАСКРЫТИЕ персональной информации о номере абонента, БЕЗ согласия абонента, что, как вы понимаете, минимум статья, позор и куча исков. жду развития событий... |
мож это ты трояна подцепил? |
1-бабах > ооо, как же я ждал этот глупейший вопрос :-) зайди, проверь сам, чего тупить то? или ты тоже "поймал"? ? |
РА реальне доставил. Спасиба. |
Думаю, номер выдирается другими способами. Но это конечно фейл. Ремотыч, ты проверял с другими модемами? Неужто только с мегой такое заподло? |
3-Wasder >4-OTEC_NOGEBATOR > проверял на нескольких компах на разных осях и разных браузерах (ну, ессно, только JS в браузере не должен быть отключен) с телефоном в качестве модема, с 3G wi-fi роутером, с USB-модемом, с двумя разными симками Меги, симками билайна, МТС. ТОЛЬКо на меге палит номер. на билайне и МТС дыра не срабатывает и пишет обезличенный номер вида +79161112233. |
хотя я тут поанализировал код ифрейма банера (могу его дать другим тоже на анализ) и уже на 60-70% уверен, что тут не столько дыраа именно сговор меги с депозитом. |
Эта х-у-й-н-я так же живет на юкозе уже хрен знает сколько, правда шмарорезки оперы и фокса её убирают, а вот гуглохрень пропускает. |
И подписывает она на аффилированый с мегой ресурс, так что тут на лицо ололошеньки от меги, особенно если поглядеть на их сайте эт самое заявление директора, о том как они героически превозмогают мошенников. |
Nemec2, в том то и дело что у меня в Опере жесточайшая резалка. Режется все жестко. И все равно пролезло. Другое не дает покоя. КАК? Я уже чего только поначалу не думал. Что какой-то хитровыежанный скрипт умудряется поиметь браузеры и выполнить какую-то не менеее хитрую AT-команду на модеме или вообще зашпулить USSD-запрос, что невозможно. Потом стал думать о XSS, уж больно все похоже. Но теперь думаю, что тут что-то другое и уже 100% уверен что все сделано исключительно с санкции Меги. |
[quote=Remote Admin;25593280]ВНИМАНИЕ! Серьезная дыра в системе безопасности Мегафона[/quote] Это не дыра, а фича )) Мегафон запускает широкую партнёрскую программу премиум-тарификации. Новость пока размещена не на всех региональных сайтах Меги, но программа федеральная. [quote][b]Плати за контент одним кликом[/b] 15 июня 2012 Абонентам компании МегаФон доступна новая услуга быстрого, удобного и безопасного получения доступа к мобильному контенту, информационно-развлекательным сервисам в один клик. Услуга доступна с любого мобильного устройства (мобильный телефон, планшет, модем и т.д.), когда для выхода в сеть используется Internet от МегаФон. Абонент посещает популярные web/wap-порталы Партнеров МегаФон на которых представлен информационно-развлекательный контент (игры, музыка, фильмы, книги и т.п.). При этом у абонента МегаФон есть возможность сразу получить доступ к интересующему контенту, оплата за этот доступ будет произведена со счета его мобильного телефона. Услуга не требует дополнительного подключения и доступна абонентам всех филиалов ОАО «МегаФон».[/quote] [url]http://dv.corp.megafon.ru/press/information/region/20120615-0740.html[/url] |
Они еще не так будут вас иметь. )))) |
10-B2, вот это да... |
вот это абзац! так это же тупо, гнусно и банально НЕЗАКОННО!!! третьим сторонам Мега отдает мои персональные абонентские данные без моего согласия. |
[quote=Remote Admin;25596386]третьим сторонам Мега отдает мои персональные абонентские данные без моего согласия[/quote] Сейчас в лом копаться в "Условиях предоставления услуг" Мегафона, но, если мне не изменяет память, там был некий пункт, согласно которому абонент, подписывая Договор, соглашается на передачу определённой информации третьим лицам )) |
14-B2 память вам частично изменяет. я в свое время писал об изменениях в Условия. и есть там такое: "14.14. Подписывая Договор, Абонент соглашается на весь срок его действия на: ... 14.14.3. использование сведений об Абоненте, указанных в ст. 53 Федерального закона № 126-ФЗ от 07.07.2003 года «О связи», в системе [b]информационно-справочного обслуживания[/b] Оператором или третьими лицами [b]в целях оказания справочных и иных информационных услуг[/b] Оператором или третьими лицами. Указанное использование осуществляется с использованием средств автоматизации или без использования таких средств и подразумевает, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение сведений об Абоненте, включение сведений об Абоненте в данные для информационно-справочного обслуживания. Перечень третьих лиц, осуществляющих обработку сведений об Абоненте в соответствии с настоящим пунктом, приведен на сайте Оператора [url]www.megafon.ru[/url] и доводится до всеобщего сведения в местах продаж и обслуживания Абонентов Оператора" какие это нафиг информационные или справочные услуги? Мегафон нагло выдает шаринговым сервисам даже не по защищенному соединению данные о телефонах абонентов, создавая отличную ситуацию для генерации последующего рекламного спама. это как минимум. а как максимум - ожидайте появления хитрых мошеннических схем, более хитро, либо "на автомате" позоляющих кликать по пресловутой кнопке "Да" и подписывать себя на мошеннические услуги. |
[quote=Remote Admin;25598014]память вам частично изменяет[/quote] Не спорю )) По-любому, в Роспотребнадзор стукнуть не помешает )) |
[quote=Remote Admin;25598014]Мегафон нагло выдает шаринговым сервисам даже не по защищенному соединению данные о телефонах абонентов, создавая отличную ситуацию для генерации последующего рекламного спама. это как минимум. а как максимум - ожидайте появления хитрых мошеннических схем, более хитро, либо "на автомате" позоляющих кликать по пресловутой кнопке "Да" и подписывать себя на мошеннические услуги[/quote] Мысли шире ;) К примеру, качаешь ты с того-же депозита пиратскую винду, а на следующий день у тебя раздается звонок в дверь, и мужчины с серьезными ксивами "ненавязчиво" просят показать им твой комп для проверки на предмет наличия пиратского софта =) Да сколь угодно можно примеров привести. Ведь всем известно, что выжать из номера телефона персональные данные абонента в нашей стране, при наличии связей и денег, труда не составит ) |
Вот вам и будущее LTE от мегафона! Выходит что Мегафону доверять нельзя!!! |
Через iPad ( безлимит от Меги) не проходит, грузится без банера. |
кстати, про лте. у меня такой попап с гигантским океем и реальным номером за последний месяц уже несколько раз выскакивал. на разных сайтах. не депозит/юкоз, а что-то типа радикала и проч.,- уже не помню. в первый раз - я ###ел: как с лте-симки номер сняли?.. потом привык. модем-то - в режиме 3г больше работает. и вроде - [filolog]nox[/filolog], но напрягает... |
[quote=ВАСИЛИЧЪ;25600568]Через iPad ( безлимит от Меги) не проходит, грузится без банера[/quote] Лишних денег тоже не снимают? |
All as planned! [img]http://s002.radikal.ru/i200/1206/d4/29ec5f9232ef.jpg[/img] |
B2 21 - Сегодня - 09:25 Не снимают. Проверил. "Прогрессивный интернет" |
Это пока не снимают, а кто помешает им сделать это потом? Номер то им известен! |
Теперь это абасралиськаквсегда /тред. |
[quote=ВАСИЛИЧЪ;25600568]Через iPad ( безлимит от Меги) не проходит, грузится без банера. [/quote] А есть эмулятор iPad для винды? Может только через него работатьт? А то как то ... жутковато. |
[quote=Remote Admin;25593462] 1-бабах > ооо, как же я ждал этот глупейший вопрос :-) зайди, проверь сам, чего тупить то? или ты тоже "поймал"? ? [/quote] рад что доставил. И это, тебя не достало с этим меговном воевать? |
[quote=бабах;25623702]И это, тебя не достало с этим меговном воевать?[/quote] Остальные такие же sort of govno. [quote=Микки Маус;25618351]А есть эмулятор iPad для винды?[/quote] Упоролся чтоли? В Опере турбо включи:) |
Паника у панд. Сейчас повторил те же самые и действия, что и вы, ничего никуда не передается. Вы разве не видите, что там же возможность закрыть окно?? Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Либо вы соглашаетесь на условия, либо просто кликайте на "закрыть окно". Насильно никто ничего не заставляет. А если закрыть это окно, то больше оно не всплывает. А номер я так понимаю, что просто самим оператором распознается. |
29-Jet Boy > [em]Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. [/em] Завтра Вы будете идти по улице и к вам подлетит (именно не подойдет, а нагло подлетит) сотрудник Меги и прокричит на всю улицу: "Эй, чувак с номером +79281234567, правда "ДА", что ты хочешь у меня купить то, что можно взять бесплатно?!", и когда Вы в офигении начнете лихорадочно соображать, что же ответить этому наглецу, он схватит Вас за плечи и начнет дышать в лицо перегаром и требовать: "Правда да, ну правда дааа?!" Может не самый удачный пример, но суть понять можно. И, кстати, говоря, как можно так залихватски утверждать что ничего и никуда не передается? Как МИНИМУМ, мне выдает ифрейм с МОИМномером в кеш браузера, что на 99% значит, что содержимое этого ифрейма засветится и на том же депозите при необходимости. И где гарантия, что "партнеры" Мегафона не начнут задвигать направо и налево отменную спамх-базу? Вам это надо? Мне нет! Кроме того, более всего оскорбляет во всем этом фантастически прогрессирующий новый стил продвижения услуг - преднамеренное создание условий для срабатывания завуалированного мошенничества и доведение до финансовой ошибки (если коротко). Да, 99% абонентов - полные лохи (исключительно к контексте понимания услуг, предоставляемых операторами), но мы же с Вами не вытаскиваем купюры у случайно встреченного дауна со слюной изо рта, у которого торчит из кармана купюра? Легко вытащить, он и не заметит. Но не тащим же? А Операторы, зная слабости не гнушаются ничем. Это и бесит. |
[quote=Jet Boy;25626550]Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Либо вы соглашаетесь на условия, либо просто кликайте на "закрыть окно".[/quote] Ви таки разницу в кнопке "ОК" на пол экрана и хyJ|ипиздрическим крестиком в правом левом углу понимаете? |
Бедный, несчастный мегафон - последний *** без соли доедают. Видимо это смена оператора, без замены номера, их сподвигла на такой шаг. Дорогая штука однако, миллиарды денег стоит. |
+32 RA , спс |
30-Remote Admin > очень странный пример вы привели. Вообще не понимаю, в чем причина такой паранойи. Оператор просто определяет ваш номер. Что здесь такого?? Яндекс и другие сайты ваш ай пи адрес определяют. А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела. Но вы же не кричите на каждом углу, что как они посмели определить мой ай пи!! Я не давал согласия... Эту же информацию могут использовать все - от сотрудников фсб до разносчиков газет, которые будут постоянно мне под дверь рекламу подсовывать! Бред? Вот мне тоже так кажется. |
31-Nemec2 > ну какбэ любой пользоватль интернета знает, что крестик есть всегда:)))) Когда вам всякие спамбаннеры на сайтах прилетают, вы же не кликаете огромный мигающий ОК, а ищите крестик... Почему бы в этом случае не поступить так же? |
34-Jet Boy > [em]А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела.[/em] так а ЧТО ИМЕННО вы будете "спокойно" пробивать?! не загнав меня куда-то либо, к чему имеете доступ, вы не вычислите IP-адрес. мой адрес (чисто технически, не надо щас бла-бла про запросы "самизнаетекаких" органов, СОРМы и т.д., что коню понятно) известен только: 1)мне 2)моему провайдеру (на уровне внтуренней подсетки) 3)возможному "человеку посередине" со сниффером. 4) логирующей системе того ресурса, на который я зашел. Вы же, находясь в другой подсети у другого провайдера никогда и никаким образом чисто технически не узнаете IP в обход вышеуказанным способом. а теперь немного абстрагируемся и представим что в ситуации с Мегой? фактически они незаконно деанонимизируют мою персональную информацию перед шаринговым сервисом, выдавай им мой номер для генерации ифрейма с моим номером. то что депозит не имеет права знать (и вероятно многие другие будущие "партнеры"), он, благодаря Меге, знает и никому не известно, КАК они это захотят использовать (впервую очередь продать номера для спама)? |
+ мне не совсем понятно. [b]Jet Boy[/b], вы полагаете, что если щас все операторы со всеми своими платными сервисами начнут на КАЖДОЙ странице писать ваш номер и выдавать кнопку на полэкрана с "Да" - это нормально?! |
Уважаемые пользователи. Ни о какой утечке речи не идёт – msisdn НИКУДА НЕ ПЕРЕДАЁТСЯ! Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней! На этой странице есть ссылки на условия предоставления услуги подписки, правил подписки и стоимости или возможности закрыть такое окно. Абонент принимает решение либо согласиться с условиями либо закрыть окно. Повторно такое окно после его закрытия больше не демонстрируется. Номер определяется тех. средствами оператора исключительно только для информирования о подписке. Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума. |
38-МегаКавказ > Ну вот, мы и услышали официальное лицо. [em]Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней![/em] Ага, и отказаться, вероятно, можно огромной зеленой кнопкой с надписью "ДА", по которой невозможно промазать :-) Не для протокола, ведь даже ежу понятно, зачем все это сделано и почему кнопка такая огромная? [em]Номер определяется тех. средствами оператора исключительно только для информирования о подписке.[/em] Вот тут, мягко говоря, неправда. Исключительно для принуждения к платной подписке. В противном случае было бы две кнопки - кнопки подтверждения и отмены и они были бы одинакового цвета и размера и фокус по дефолту был бы на кнопки "нет" (что во всем цивилизованном мире принято). А так... ну, ребята, я помню басню "Волк на псарне". [em]Повторно такое окно после его закрытия больше не демонстрируется.[/em] А вот это снова неправда. Рефреш (либо заход по другой депозитовской ссылке), нажатие на бесплатное скачивание и мы снова видим тот же банер. [em]Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума.[/em] Да неужели? Наваять вирус, который при открытии депозитовских ссылок делает скриншот экрана с номерком абона и засылает на удаленный веб-гейт - как бы дело совсем плевое. В более сложно варианте - сам загоняет на депозит и кликает по бесплатному скачиванию. Ну и еще момент. Я не хочу подобной "услуги". Как мне её отключить? |
| Текущее время: 19:24. Часовой пояс GMT +3. |