| Регистрация Правила Главная форума Поиск |
| 0
- 19.06.2012 - 15:44
|
Сразу скажу, что тех. заявку у меня уже приняли и ею занимаются, но дыра пока не устранена. В чем суть. Заходим на известный шаринговый сервис депозитфайлес через инет от Меги с компа (с любого браузера, лишь бы JS не был выключен, не важно, сотовый модем, или телефон подключенный как модем, лишь бы сим-карта была ОБЯЗАТЕЛЬНО от Меги): http://depositfiles.com видим как обычно это:  и теперь либо для теста заливаем на него любой свой файл (и его качаем), либо пытаемся с него скачать любой файл, уже там ранее размещенный. например, так:  выбираем режим "Скачать бесплатно" и НЕМЕДЛЕННО видим такой банер (сработавший через JS-скрипт, расположенный на депозите):  ессно, номер высвечивает РЕАЛЬНЫЙ, тот что на симке! и ТОЛЬКО если вы в инете через МЕГУ. на билайне, МТС и т.д. дыра не срабатывает. при этом в фоне идет еще и редирект на wap. megafonpro.ru (официальный домен Меги, где вероятно эксплуатируется XSS-уязвимость, позволяющая "выдирать" данные о номерах) те кто в теме понимают, что именно произойдет если 9 из 10 пользователей (как пить дать!) нажмут на большую зеленую кнопку? но даже не это беда. беда в грубейшем нарушении закона (конечно только если имеет место сговор Меги и депозита, а не просто случайная техническая дыра) в том, что идет РАСКРЫТИЕ персональной информации о номере абонента, БЕЗ согласия абонента, что, как вы понимаете, минимум статья, позор и куча исков. жду развития событий...     | | ||
| 1
- 19.06.2012 - 15:51
| мож это ты трояна подцепил? | | ||
| 2
- 19.06.2012 - 15:52
|
1-бабах > ооо, как же я ждал этот глупейший вопрос :-) зайди, проверь сам, чего тупить то? или ты тоже "поймал"? ? | | ||
| 3
- 19.06.2012 - 16:04
|
РА реальне доставил. Спасиба. | | ||
| 4
- 19.06.2012 - 16:12
|
Думаю, номер выдирается другими способами. Но это конечно фейл. Ремотыч, ты проверял с другими модемами? Неужто только с мегой такое заподло? | | ||
| 5
- 19.06.2012 - 16:17
|
3-Wasder >4-OTEC_NOGEBATOR > проверял на нескольких компах на разных осях и разных браузерах (ну, ессно, только JS в браузере не должен быть отключен) с телефоном в качестве модема, с 3G wi-fi роутером, с USB-модемом, с двумя разными симками Меги, симками билайна, МТС. ТОЛЬКо на меге палит номер. на билайне и МТС дыра не срабатывает и пишет обезличенный номер вида +79161112233. | | ||
| 6
- 19.06.2012 - 16:18
| хотя я тут поанализировал код ифрейма банера (могу его дать другим тоже на анализ) и уже на 60-70% уверен, что тут не столько дыраа именно сговор меги с депозитом. | | ||
| 7
- 19.06.2012 - 18:14
| Эта х-у-й-н-я так же живет на юкозе уже хрен знает сколько, правда шмарорезки оперы и фокса её убирают, а вот гуглохрень пропускает. | | ||
| 8
- 19.06.2012 - 18:16
| И подписывает она на аффилированый с мегой ресурс, так что тут на лицо ололошеньки от меги, особенно если поглядеть на их сайте эт самое заявление директора, о том как они героически превозмогают мошенников. | | ||
| 9
- 19.06.2012 - 18:23
|
Nemec2, в том то и дело что у меня в Опере жесточайшая резалка. Режется все жестко. И все равно пролезло. Другое не дает покоя. КАК? Я уже чего только поначалу не думал. Что какой-то хитровыежанный скрипт умудряется поиметь браузеры и выполнить какую-то не менеее хитрую AT-команду на модеме или вообще зашпулить USSD-запрос, что невозможно. Потом стал думать о XSS, уж больно все похоже. Но теперь думаю, что тут что-то другое и уже 100% уверен что все сделано исключительно с санкции Меги. | | ||
| 10
- 19.06.2012 - 18:27
| Цитата:
Цитата:
| | ||
| 11
- 19.06.2012 - 18:53
| Они еще не так будут вас иметь. )))) | | ||
| 12
- 19.06.2012 - 19:16
| 10-B2, вот это да... | | ||
| 13
- 19.06.2012 - 19:27
|
вот это абзац! так это же тупо, гнусно и банально НЕЗАКОННО!!! третьим сторонам Мега отдает мои персональные абонентские данные без моего согласия. | | ||
| 14
- 19.06.2012 - 21:21
| Цитата:
| | ||
| 15
- 19.06.2012 - 21:46
|
14-B2 память вам частично изменяет. я в свое время писал об изменениях в Условия. и есть там такое: "14.14. Подписывая Договор, Абонент соглашается на весь срок его действия на: ... 14.14.3. использование сведений об Абоненте, указанных в ст. 53 Федерального закона № 126-ФЗ от 07.07.2003 года «О связи», в системе информационно-справочного обслуживания Оператором или третьими лицами в целях оказания справочных и иных информационных услуг Оператором или третьими лицами. Указанное использование осуществляется с использованием средств автоматизации или без использования таких средств и подразумевает, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение сведений об Абоненте, включение сведений об Абоненте в данные для информационно-справочного обслуживания. Перечень третьих лиц, осуществляющих обработку сведений об Абоненте в соответствии с настоящим пунктом, приведен на сайте Оператора www.megafon.ru и доводится до всеобщего сведения в местах продаж и обслуживания Абонентов Оператора" какие это нафиг информационные или справочные услуги? Мегафон нагло выдает шаринговым сервисам даже не по защищенному соединению данные о телефонах абонентов, создавая отличную ситуацию для генерации последующего рекламного спама. это как минимум. а как максимум - ожидайте появления хитрых мошеннических схем, более хитро, либо "на автомате" позоляющих кликать по пресловутой кнопке "Да" и подписывать себя на мошеннические услуги. | | ||
| 16
- 19.06.2012 - 22:11
| Цитата:
| | ||
| 17
- 19.06.2012 - 22:43
| Цитата:
Да сколь угодно можно примеров привести. Ведь всем известно, что выжать из номера телефона персональные данные абонента в нашей стране, при наличии связей и денег, труда не составит ) | | ||
| 18
- 20.06.2012 - 07:36
| Вот вам и будущее LTE от мегафона! Выходит что Мегафону доверять нельзя!!! | | ||
| 19
- 20.06.2012 - 08:09
| Через iPad ( безлимит от Меги) не проходит, грузится без банера. | | ||
| 20
- 20.06.2012 - 08:21
|
кстати, про лте. у меня такой попап с гигантским океем и реальным номером за последний месяц уже несколько раз выскакивал. на разных сайтах. не депозит/юкоз, а что-то типа радикала и проч.,- уже не помню. в первый раз - я ###ел: как с лте-симки номер сняли?.. потом привык. модем-то - в режиме 3г больше работает. и вроде - [*****], но напрягает... | | ||
| 21
- 20.06.2012 - 08:25
| Цитата:
| | ||
| 22
- 20.06.2012 - 09:39
|
All as planned! | | ||
| 23
- 20.06.2012 - 10:40
|
B2 21 - Сегодня - 09:25 Не снимают. Проверил. "Прогрессивный интернет" | | ||
| 24
- 20.06.2012 - 10:46
| Это пока не снимают, а кто помешает им сделать это потом? Номер то им известен! | | ||
| 25
- 20.06.2012 - 15:59
| Теперь это абасралиськаквсегда /тред. | | ||
| 26
- 21.06.2012 - 06:41
| Цитата:
| | ||
| 27
- 21.06.2012 - 11:45
| Цитата:
И это, тебя не достало с этим меговном воевать? | | ||
| 28
- 21.06.2012 - 13:16
| Цитата:
Цитата:
| | ||
| 29
- 21.06.2012 - 13:51
|
Паника у панд. Сейчас повторил те же самые и действия, что и вы, ничего никуда не передается. Вы разве не видите, что там же возможность закрыть окно?? Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Либо вы соглашаетесь на условия, либо просто кликайте на "закрыть окно". Насильно никто ничего не заставляет. А если закрыть это окно, то больше оно не всплывает. А номер я так понимаю, что просто самим оператором распознается. | | ||
| 30
- 21.06.2012 - 15:52
|
29-Jet Boy > Вы можете спокойно этой возможностью воспользоваться и никуда ничего не передастся. Завтра Вы будете идти по улице и к вам подлетит (именно не подойдет, а нагло подлетит) сотрудник Меги и прокричит на всю улицу: "Эй, чувак с номером +79281234567, правда "ДА", что ты хочешь у меня купить то, что можно взять бесплатно?!", и когда Вы в офигении начнете лихорадочно соображать, что же ответить этому наглецу, он схватит Вас за плечи и начнет дышать в лицо перегаром и требовать: "Правда да, ну правда дааа?!" Может не самый удачный пример, но суть понять можно. И, кстати, говоря, как можно так залихватски утверждать что ничего и никуда не передается? Как МИНИМУМ, мне выдает ифрейм с МОИМномером в кеш браузера, что на 99% значит, что содержимое этого ифрейма засветится и на том же депозите при необходимости. И где гарантия, что "партнеры" Мегафона не начнут задвигать направо и налево отменную спамх-базу? Вам это надо? Мне нет! Кроме того, более всего оскорбляет во всем этом фантастически прогрессирующий новый стил продвижения услуг - преднамеренное создание условий для срабатывания завуалированного мошенничества и доведение до финансовой ошибки (если коротко). Да, 99% абонентов - полные лохи (исключительно к контексте понимания услуг, предоставляемых операторами), но мы же с Вами не вытаскиваем купюры у случайно встреченного дауна со слюной изо рта, у которого торчит из кармана купюра? Легко вытащить, он и не заметит. Но не тащим же? А Операторы, зная слабости не гнушаются ничем. Это и бесит. | | ||
| 31
- 21.06.2012 - 16:13
| Цитата:
| | ||
| 32
- 21.06.2012 - 22:21
| Бедный, несчастный мегафон - последний *** без соли доедают. Видимо это смена оператора, без замены номера, их сподвигла на такой шаг. Дорогая штука однако, миллиарды денег стоит. | | ||
| 33
- 21.06.2012 - 22:25
| +32 RA , спс | | ||
| 34
- 22.06.2012 - 09:40
|
30-Remote Admin > очень странный пример вы привели. Вообще не понимаю, в чем причина такой паранойи. Оператор просто определяет ваш номер. Что здесь такого?? Яндекс и другие сайты ваш ай пи адрес определяют. А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела. Но вы же не кричите на каждом углу, что как они посмели определить мой ай пи!! Я не давал согласия... Эту же информацию могут использовать все - от сотрудников фсб до разносчиков газет, которые будут постоянно мне под дверь рекламу подсовывать! Бред? Вот мне тоже так кажется. | | ||
| 35
- 22.06.2012 - 09:43
|
31-Nemec2 > ну какбэ любой пользоватль интернета знает, что крестик есть всегда:)))) Когда вам всякие спамбаннеры на сайтах прилетают, вы же не кликаете огромный мигающий ОК, а ищите крестик... Почему бы в этом случае не поступить так же? | | ||
| 36
- 22.06.2012 - 10:35
|
34-Jet Boy > А через многие другие сайты ваш ай пи адрес можно спокойно пробить и узнать адрес, провайдера и все дела. так а ЧТО ИМЕННО вы будете "спокойно" пробивать?! не загнав меня куда-то либо, к чему имеете доступ, вы не вычислите IP-адрес. мой адрес (чисто технически, не надо щас бла-бла про запросы "самизнаетекаких" органов, СОРМы и т.д., что коню понятно) известен только: 1)мне 2)моему провайдеру (на уровне внтуренней подсетки) 3)возможному "человеку посередине" со сниффером. 4) логирующей системе того ресурса, на который я зашел. Вы же, находясь в другой подсети у другого провайдера никогда и никаким образом чисто технически не узнаете IP в обход вышеуказанным способом. а теперь немного абстрагируемся и представим что в ситуации с Мегой? фактически они незаконно деанонимизируют мою персональную информацию перед шаринговым сервисом, выдавай им мой номер для генерации ифрейма с моим номером. то что депозит не имеет права знать (и вероятно многие другие будущие "партнеры"), он, благодаря Меге, знает и никому не известно, КАК они это захотят использовать (впервую очередь продать номера для спама)? | | ||
| 37
- 22.06.2012 - 10:38
|
+ мне не совсем понятно. Jet Boy, вы полагаете, что если щас все операторы со всеми своими платными сервисами начнут на КАЖДОЙ странице писать ваш номер и выдавать кнопку на полэкрана с "Да" - это нормально?! | | ||
| 38
- 22.06.2012 - 14:09
|
Уважаемые пользователи. Ни о какой утечке речи не идёт – msisdn НИКУДА НЕ ПЕРЕДАЁТСЯ! Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней! На этой странице есть ссылки на условия предоставления услуги подписки, правил подписки и стоимости или возможности закрыть такое окно. Абонент принимает решение либо согласиться с условиями либо закрыть окно. Повторно такое окно после его закрытия больше не демонстрируется. Номер определяется тех. средствами оператора исключительно только для информирования о подписке. Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума. | | ||
| 39
- 22.06.2012 - 14:44
|
38-МегаКавказ > Ну вот, мы и услышали официальное лицо. Абоненту демонстрируется его MSISDN на лендинговой странице для доп. информирования о платности возможными действий на ней! Ага, и отказаться, вероятно, можно огромной зеленой кнопкой с надписью "ДА", по которой невозможно промазать :-) Не для протокола, ведь даже ежу понятно, зачем все это сделано и почему кнопка такая огромная? Номер определяется тех. средствами оператора исключительно только для информирования о подписке. Вот тут, мягко говоря, неправда. Исключительно для принуждения к платной подписке. В противном случае было бы две кнопки - кнопки подтверждения и отмены и они были бы одинакового цвета и размера и фокус по дефолту был бы на кнопки "нет" (что во всем цивилизованном мире принято). А так... ну, ребята, я помню басню "Волк на псарне". Повторно такое окно после его закрытия больше не демонстрируется. А вот это снова неправда. Рефреш (либо заход по другой депозитовской ссылке), нажатие на бесплатное скачивание и мы снова видим тот же банер. Поэтому попросту нет никаких технических предпосылок для того, чтобы предполагать возможность спама, передачи персональных данных и многие другие неверные сценарии, которые были озвучены в этой ветке форума. Да неужели? Наваять вирус, который при открытии депозитовских ссылок делает скриншот экрана с номерком абона и засылает на удаленный веб-гейт - как бы дело совсем плевое. В более сложно варианте - сам загоняет на депозит и кликает по бесплатному скачиванию. Ну и еще момент. Я не хочу подобной "услуги". Как мне её отключить? | |
Интернет-форум Краснодарского края и Краснодара |
