К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

ВНИМАНИЕ! Не попадитесь на платные подписки компании Мегафон.

Гость
0 - 19.06.2012 - 15:44
Сразу скажу, что тех. заявку у меня уже приняли и ею занимаются, но дыра пока не устранена.
В чем суть.
Заходим на известный шаринговый сервис депозитфайлес через инет от Меги с компа (с любого браузера, лишь бы JS не был выключен, не важно, сотовый модем, или телефон подключенный как модем, лишь бы сим-карта была ОБЯЗАТЕЛЬНО от Меги):

http://depositfiles.com

видим как обычно это:


и теперь либо для теста заливаем на него любой свой файл (и его качаем), либо пытаемся с него скачать любой файл, уже там ранее размещенный.

например, так:


выбираем режим "Скачать бесплатно" и НЕМЕДЛЕННО видим такой банер (сработавший через JS-скрипт, расположенный на депозите):



ессно, номер высвечивает РЕАЛЬНЫЙ, тот что на симке! и ТОЛЬКО если вы в инете через МЕГУ. на билайне, МТС и т.д. дыра не срабатывает.

при этом в фоне идет еще и редирект на wap. megafonpro.ru (официальный домен Меги, где вероятно эксплуатируется XSS-уязвимость, позволяющая "выдирать" данные о номерах)

те кто в теме понимают, что именно произойдет если 9 из 10 пользователей (как пить дать!) нажмут на большую зеленую кнопку?

но даже не это беда.

беда в грубейшем нарушении закона (конечно только если имеет место сговор Меги и депозита, а не просто случайная техническая дыра) в том, что идет РАСКРЫТИЕ персональной информации о номере абонента, БЕЗ согласия абонента, что, как вы понимаете, минимум статья, позор и куча исков.

жду развития событий...



Гость
1 - 19.06.2012 - 15:51
мож это ты трояна подцепил?
Гость
2 - 19.06.2012 - 15:52
1-бабах >
ооо, как же я ждал этот глупейший вопрос :-)
зайди, проверь сам, чего тупить то?
или ты тоже "поймал"? ?
Гость
3 - 19.06.2012 - 16:04
РА реальне доставил.
Спасиба.
Гость
4 - 19.06.2012 - 16:12
Думаю, номер выдирается другими способами.
Но это конечно фейл. Ремотыч, ты проверял с другими модемами? Неужто только с мегой такое заподло?
Гость
5 - 19.06.2012 - 16:17
3-Wasder >4-OTEC_NOGEBATOR >
проверял на нескольких компах на разных осях и разных браузерах (ну, ессно, только JS в браузере не должен быть отключен) с телефоном в качестве модема, с 3G wi-fi роутером, с USB-модемом, с двумя разными симками Меги, симками билайна, МТС.
ТОЛЬКо на меге палит номер. на билайне и МТС дыра не срабатывает и пишет обезличенный номер вида +79161112233.
Гость
6 - 19.06.2012 - 16:18
хотя я тут поанализировал код ифрейма банера (могу его дать другим тоже на анализ) и уже на 60-70% уверен, что тут не столько дыраа именно сговор меги с депозитом.
Гость
7 - 19.06.2012 - 18:14
Эта х-у-й-н-я так же живет на юкозе уже хрен знает сколько, правда шмарорезки оперы и фокса её убирают, а вот гуглохрень пропускает.
Гость
8 - 19.06.2012 - 18:16
И подписывает она на аффилированый с мегой ресурс, так что тут на лицо ололошеньки от меги, особенно если поглядеть на их сайте эт самое заявление директора, о том как они героически превозмогают мошенников.
Гость
9 - 19.06.2012 - 18:23
Nemec2, в том то и дело что у меня в Опере жесточайшая резалка. Режется все жестко. И все равно пролезло.
Другое не дает покоя. КАК?
Я уже чего только поначалу не думал.
Что какой-то хитровыежанный скрипт умудряется поиметь браузеры и выполнить какую-то не менеее хитрую AT-команду на модеме или вообще зашпулить USSD-запрос, что невозможно.
Потом стал думать о XSS, уж больно все похоже.
Но теперь думаю, что тут что-то другое и уже 100% уверен что все сделано исключительно с санкции Меги.
B2
10 - 19.06.2012 - 18:27
Цитата:
Сообщение от Remote Admin Посмотреть сообщение
ВНИМАНИЕ! Серьезная дыра в системе безопасности Мегафона
Это не дыра, а фича )) Мегафон запускает широкую партнёрскую программу премиум-тарификации. Новость пока размещена не на всех региональных сайтах Меги, но программа федеральная.

Цитата:
Плати за контент одним кликом

15 июня 2012

Абонентам компании МегаФон доступна новая услуга быстрого, удобного и безопасного получения доступа к мобильному контенту, информационно-развлекательным сервисам в один клик.
Услуга доступна с любого мобильного устройства (мобильный телефон, планшет, модем и т.д.), когда для выхода в сеть используется Internet от МегаФон.
Абонент посещает популярные web/wap-порталы Партнеров МегаФон на которых представлен информационно-развлекательный контент (игры, музыка, фильмы, книги и т.п.). При этом у абонента МегаФон есть возможность сразу получить доступ к интересующему контенту, оплата за этот доступ будет произведена со счета его мобильного телефона.
Услуга не требует дополнительного подключения и доступна абонентам всех филиалов ОАО «МегаФон».
http://dv.corp.megafon.ru/press/info...0615-0740.html
Гость
11 - 19.06.2012 - 18:53
Они еще не так будут вас иметь. ))))
Гость
12 - 19.06.2012 - 19:16
10-B2, вот это да...
Гость
13 - 19.06.2012 - 19:27
вот это абзац!
так это же тупо, гнусно и банально НЕЗАКОННО!!!
третьим сторонам Мега отдает мои персональные абонентские данные без моего согласия.
B2
14 - 19.06.2012 - 21:21
Цитата:
Сообщение от Remote Admin Посмотреть сообщение
третьим сторонам Мега отдает мои персональные абонентские данные без моего согласия
Сейчас в лом копаться в "Условиях предоставления услуг" Мегафона, но, если мне не изменяет память, там был некий пункт, согласно которому абонент, подписывая Договор, соглашается на передачу определённой информации третьим лицам ))
Гость
15 - 19.06.2012 - 21:46
14-B2
память вам частично изменяет. я в свое время писал об изменениях в Условия.
и есть там такое:

"14.14. Подписывая Договор, Абонент соглашается на весь срок его действия на:
...
14.14.3. использование сведений об Абоненте, указанных в ст. 53 Федерального закона
№ 126-ФЗ от 07.07.2003 года «О связи», в системе информационно-справочного
обслуживания
Оператором или третьими лицами в целях оказания справочных и иных
информационных услуг
Оператором или третьими лицами. Указанное использование
осуществляется с использованием средств автоматизации или без использования таких средств и подразумевает, в том числе, сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение сведений об Абоненте, включение сведений об Абоненте в данные для
информационно-справочного обслуживания. Перечень третьих лиц, осуществляющих
обработку сведений об Абоненте в соответствии с настоящим пунктом, приведен на
сайте Оператора www.megafon.ru и доводится до всеобщего сведения в местах продаж
и обслуживания Абонентов Оператора"

какие это нафиг информационные или справочные услуги?
Мегафон нагло выдает шаринговым сервисам даже не по защищенному соединению данные о телефонах абонентов, создавая отличную ситуацию для генерации последующего рекламного спама. это как минимум. а как максимум - ожидайте появления хитрых мошеннических схем, более хитро, либо "на автомате" позоляющих кликать по пресловутой кнопке "Да" и подписывать себя на мошеннические услуги.
B2
16 - 19.06.2012 - 22:11
Цитата:
Сообщение от Remote Admin Посмотреть сообщение
память вам частично изменяет
Не спорю )) По-любому, в Роспотребнадзор стукнуть не помешает ))
Гость
17 - 19.06.2012 - 22:43
Цитата:
Сообщение от Remote Admin Посмотреть сообщение
Мегафон нагло выдает шаринговым сервисам даже не по защищенному соединению данные о телефонах абонентов, создавая отличную ситуацию для генерации последующего рекламного спама. это как минимум. а как максимум - ожидайте появления хитрых мошеннических схем, более хитро, либо "на автомате" позоляющих кликать по пресловутой кнопке "Да" и подписывать себя на мошеннические услуги
Мысли шире ;) К примеру, качаешь ты с того-же депозита пиратскую винду, а на следующий день у тебя раздается звонок в дверь, и мужчины с серьезными ксивами "ненавязчиво" просят показать им твой комп для проверки на предмет наличия пиратского софта =)
Да сколь угодно можно примеров привести. Ведь всем известно, что выжать из номера телефона персональные данные абонента в нашей стране, при наличии связей и денег, труда не составит )
Гость
18 - 20.06.2012 - 07:36
Вот вам и будущее LTE от мегафона! Выходит что Мегафону доверять нельзя!!!
Гость
19 - 20.06.2012 - 08:09
Через iPad ( безлимит от Меги) не проходит, грузится без банера.
Гость
20 - 20.06.2012 - 08:21
кстати, про лте.
у меня такой попап с гигантским океем и реальным номером за последний месяц уже несколько раз выскакивал.
на разных сайтах. не депозит/юкоз, а что-то типа радикала и проч.,- уже не помню.
в первый раз - я ###ел: как с лте-симки номер сняли?..
потом привык.
модем-то - в режиме 3г больше работает.
и вроде - [*****], но напрягает...
B2
21 - 20.06.2012 - 08:25
Цитата:
Сообщение от ВАСИЛИЧЪ Посмотреть сообщение
Через iPad ( безлимит от Меги) не проходит, грузится без банера
Лишних денег тоже не снимают?
Гость
22 - 20.06.2012 - 09:39
All as planned!
Гость
23 - 20.06.2012 - 10:40
B2
21 - Сегодня - 09:25
Не снимают. Проверил. "Прогрессивный интернет"
Гость
24 - 20.06.2012 - 10:46
Это пока не снимают, а кто помешает им сделать это потом? Номер то им известен!
Гость
25 - 20.06.2012 - 15:59
Теперь это абасралиськаквсегда /тред.
Гость
26 - 21.06.2012 - 06:41
Цитата:
Сообщение от ВАСИЛИЧЪ Посмотреть сообщение
Через iPad ( безлимит от Меги) не проходит, грузится без банера.
А есть эмулятор iPad для винды? Может только через него работатьт? А то как то ... жутковато.
Гость
27 - 21.06.2012 - 11:45
Цитата:
Сообщение от Remote Admin Посмотреть сообщение
1-бабах > ооо, как же я ждал этот глупейший вопрос :-) зайди, проверь сам, чего тупить то? или ты тоже "поймал"? ?
рад что доставил.
И это, тебя не достало с этим меговном воевать?
Гость
28 - 21.06.2012 - 13:16
Цитата:
Сообщение от бабах Посмотреть сообщение
И это, тебя не достало с этим меговном воевать?
Остальные такие же sort of govno.

Цитата:
Сообщение от Микки Маус Посмотреть сообщение
А есть эмулятор iPad для винды?
Упоролся чтоли? В Опере турбо включи:)
Гость
29 - 21.06.2012 - 13:51
Паника у панд.

Сейчас повторил те же самые и действия, что и вы, ничего никуда не передается. Вы разве не видите, что там же возможность закрыть окно??

Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Либо вы соглашаетесь на условия, либо просто кликайте на "закрыть окно". Насильно никто ничего не заставляет. А если закрыть это окно, то больше оно не всплывает.

А номер я так понимаю, что просто самим оператором распознается.
Гость
30 - 21.06.2012 - 15:52
29-Jet Boy >
Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся.

Завтра Вы будете идти по улице и к вам подлетит (именно не подойдет, а нагло подлетит) сотрудник Меги и прокричит на всю улицу: "Эй, чувак с номером +79281234567, правда "ДА", что ты хочешь у меня купить то, что можно взять бесплатно?!", и когда Вы в офигении начнете лихорадочно соображать, что же ответить этому наглецу, он схватит Вас за плечи и начнет дышать в лицо перегаром и требовать: "Правда да, ну правда дааа?!"

Может не самый удачный пример, но суть понять можно.
И, кстати, говоря, как можно так залихватски утверждать что ничего и никуда не передается?
Как МИНИМУМ, мне выдает ифрейм с МОИМномером в кеш браузера, что на 99% значит, что содержимое этого ифрейма засветится и на том же депозите при необходимости.
И где гарантия, что "партнеры" Мегафона не начнут задвигать направо и налево отменную спамх-базу?
Вам это надо? Мне нет!
Кроме того, более всего оскорбляет во всем этом фантастически прогрессирующий новый стил продвижения услуг - преднамеренное создание условий для срабатывания завуалированного мошенничества и доведение до финансовой ошибки (если коротко).
Да, 99% абонентов - полные лохи (исключительно к контексте понимания услуг, предоставляемых операторами), но мы же с Вами не вытаскиваем купюры у случайно встреченного дауна со слюной изо рта, у которого торчит из кармана купюра? Легко вытащить, он и не заметит. Но не тащим же?
А Операторы, зная слабости не гнушаются ничем.
Это и бесит.
Гость
31 - 21.06.2012 - 16:13
Цитата:
Сообщение от Jet Boy Посмотреть сообщение
Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Либо вы соглашаетесь на условия, либо просто кликайте на "закрыть окно".
Ви таки разницу в кнопке "ОК" на пол экрана и хyJ|ипиздрическим крестиком в правом левом углу понимаете?
Гость
32 - 21.06.2012 - 22:21
Бедный, несчастный мегафон - последний *** без соли доедают. Видимо это смена оператора, без замены номера, их сподвигла на такой шаг. Дорогая штука однако, миллиарды денег стоит.
Гость
33 - 21.06.2012 - 22:25
+32 RA , спс
Гость
34 - 22.06.2012 - 09:40
30-Remote Admin > очень странный пример вы привели. Вообще не понимаю, в чем причина такой паранойи. Оператор просто определяет ваш номер. Что здесь такого??
Яндекс и другие сайты ваш ай пи адрес определяют. А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела. Но вы же не кричите на каждом углу, что как они посмели определить мой ай пи!! Я не давал согласия... Эту же информацию могут использовать все - от сотрудников фсб до разносчиков газет, которые будут постоянно мне под дверь рекламу подсовывать!

Бред? Вот мне тоже так кажется.
Гость
35 - 22.06.2012 - 09:43
31-Nemec2 > ну какбэ любой пользоватль интернета знает, что крестик есть всегда:))))
Когда вам всякие спамбаннеры на сайтах прилетают, вы же не кликаете огромный мигающий ОК, а ищите крестик...
Почему бы в этом случае не поступить так же?
Гость
36 - 22.06.2012 - 10:35
34-Jet Boy >
А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела.
так а ЧТО ИМЕННО вы будете "спокойно" пробивать?!
не загнав меня куда-то либо, к чему имеете доступ, вы не вычислите IP-адрес. мой адрес (чисто технически, не надо щас бла-бла про запросы "самизнаетекаких" органов, СОРМы и т.д., что коню понятно) известен только:
1)мне
2)моему провайдеру (на уровне внтуренней подсетки)
3)возможному "человеку посередине" со сниффером.
4) логирующей системе того ресурса, на который я зашел.

Вы же, находясь в другой подсети у другого провайдера никогда и никаким образом чисто технически не узнаете IP в обход вышеуказанным способом.

а теперь немного абстрагируемся и представим что в ситуации с Мегой?
фактически они незаконно деанонимизируют мою персональную информацию перед шаринговым сервисом, выдавай им мой номер для генерации ифрейма с моим номером.
то что депозит не имеет права знать (и вероятно многие другие будущие "партнеры"), он, благодаря Меге, знает и никому не известно, КАК они это захотят использовать (впервую очередь продать номера для спама)?
Гость
37 - 22.06.2012 - 10:38
+ мне не совсем понятно.
Jet Boy, вы полагаете, что если щас все операторы со всеми своими платными сервисами начнут на КАЖДОЙ странице писать ваш номер и выдавать кнопку на полэкрана с "Да" - это нормально?!
Гость
38 - 22.06.2012 - 14:09
Уважаемые пользователи.

Ни о какой утечке речи не идёт – msisdn НИКУДА НЕ ПЕРЕДАЁТСЯ!
Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней! На этой странице есть ссылки на условия предоставления услуги подписки, правил подписки и стоимости или возможности закрыть такое окно.
Абонент принимает решение либо согласиться с условиями либо закрыть окно.
Повторно такое окно после его закрытия больше не демонстрируется.
Номер определяется тех. средствами оператора исключительно только для информирования о подписке.
Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума.
Гость
39 - 22.06.2012 - 14:44
38-МегаКавказ >
Ну вот, мы и услышали официальное лицо.
Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней!
Ага, и отказаться, вероятно, можно огромной зеленой кнопкой с надписью "ДА", по которой невозможно промазать :-)
Не для протокола, ведь даже ежу понятно, зачем все это сделано и почему кнопка такая огромная?
Номер определяется тех. средствами оператора исключительно только для информирования о подписке.
Вот тут, мягко говоря, неправда.
Исключительно для принуждения к платной подписке. В противном случае было бы две кнопки - кнопки подтверждения и отмены и они были бы одинакового цвета и размера и фокус по дефолту был бы на кнопки "нет" (что во всем цивилизованном мире принято).
А так... ну, ребята, я помню басню "Волк на псарне".
Повторно такое окно после его закрытия больше не демонстрируется.
А вот это снова неправда.
Рефреш (либо заход по другой депозитовской ссылке), нажатие на бесплатное скачивание и мы снова видим тот же банер.
Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума.
Да неужели?
Наваять вирус, который при открытии депозитовских ссылок делает скриншот экрана с номерком абона и засылает на удаленный веб-гейт - как бы дело совсем плевое.
В более сложно варианте - сам загоняет на депозит и кликает по бесплатному скачиванию.
Ну и еще момент.
Я не хочу подобной "услуги". Как мне её отключить?


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены