Вычисляем точный адрес любого пользователя по номеру телефона или адресу электронной почты +58

- такой же как Forbes, только лучше.

С помощью этой инструкции вы сможете без труда вычислить точный адрес (улица, номер дома, номер квартиры) любого человека, который пользуется услугами интернет-провайдера InterZet (или DomRU).

Предыстория


8-го декабря 2017-го года была выпущена новая версия приложения для iOS. В ней обновили дизайн, поправили мелкие недоработки и т.д. и т.п. Скачав приложение на телефон, я столкнулся с проблемой: не получалось пройти процедуру аутентификации. Пытался вводить в поле логина и номер договора, и номер телефона, и почту – ничего не помогало, все попытки оканчивались фиаско.

image

Проблема наблюдалась только в приложении, сайт же работал (да и работает) безупречно – пускает меня полностью. Сообщение об ошибке не очень-то и информативно. Что же пошло не так?

Анализ трафика приложения


Для того, чтобы установить, почему же наш пациент не хочет жить, воспользуемся программой mitmproxy. Она позволит нам посмотреть коммуникацию между приложением и сервером.
Попробуем аутентифицироваться, чтобы получить запрос клиента и ответ сервера.

Судя по ответу, передается невалидный timestamp:

image

Взглянем на запрос:

image

В поле «timestamp$c» передаётся время отправления запроса. Не понимаю, зачем доверять клиенту в таких вопросах?

Решение проблемы


Разработчики не учли то, что люди используют разные форматы времени; timestamp формируется неправильно, если стоит 12-и часовой формат (как в моём случае), поэтому запрос не может пройти проверку на сервере. Меняем формат отображения времени в настройках телефона на 24-х часовой и успешно проходим аутентификацию. Отличие запросов лишь в том, что в 24-х часовом формате в timestamp нет AM/PM.

Корректный запрос выглядит так:

image

Вычисляем по номеру телефона или адресу электронной почты

Во время анализа трафика приложения на этапе аутентификации, я наткнулся на одну весьма интересную недоработку системы. Некорректное поведение функции «восстановить пароль». Она отдаёт очень интересную информацию.

Запрос выглядит следующим образом:

image

Нас интересует параметр "param_values_arr$c".

  • Если в нём передать номер договора пользователя услуг Interzet/DomRU, то мы получим привязанные к договору контактные данные: номер телефона, адрес электронной почты.
  • Если передать в нём номер телефона или адрес электронной почты, то в ответе мы увидим точный адрес пользователя.

Пример ответа:

image

Видим точный адрес своей квартиры, понимаем, что это фиаско, а так же улыбаемся и машем!

P.S: на сайте всё работает корректно, вроде бы, адрес звездочками закрывают :)

К слову, судя по ошибкам, которые выдаёт сервер в случае отсутствия пользователя в базе, на сервере включен режим отладки. Не понимаю, зачем?

<debug>
      <![CDATA[debug$n=24: exception: ORA-20001: debug=2   backtrace: ORA-06512: at "EXCELLENT3.WEBCAB_XML_PROC", line 6264 ORA-06512: at line 1 ORA-06512: at "EXCELLENT3.WEB_CABINET", line 1064 ]]>
      </debug>

Как повторить?

У каждого города, я подозреваю, своя БД и URL. Ниже приведен пример для города Санкт-Петербург.

Простой запрос через cURL:

curl "https://spb.db.ertelecom.ru/cgi-bin/ppo/es_webface/web_cabinet.get_info?param_names_arr%24c=client_contact&param_values_arr%24c=habr@example.com&params=get_agr_list_contact_xml"

Меняем habr@example.com на необходимый номер телефона или адрес электронной почты.

UPDATE: проблема исправлена, теперь адрес закрыт звездочками.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственность за любой возможный вред или ущерб, причиненный материалами данной статьи.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (104):

  1. ivaaaan
    /#10560400 / +2

    Вы не сообщили провайдеру о уязвимости?

    • mkll
      /#10560410

      Я бы сказал, что это не уязвимость. Это дыра.

      • StjarnornasFred
        /#10560426

        Вероятнее всего, если покопаться, то и у некоторых других провайдеров, особенно мелких, можно найти подобные дыры. Шутка про «вычислю по айпи» выходит на новый уровень.

    • jo1n
      /#10560508

      Сообщил :)

      • OstaninKI
        /#10560520

        Я так понимаю, что данная статья и есть оповещение, судя по смайлу в конце? )

        • jo1n
          /#10560526

          Нет, я им написал на почту. Так как ответ был в стиле «у нас всё защищено», я посчитал правильным придать огласке. Если обратите внимание на скриншоты, то увидите, что они были сделаны за день до публикации статьи, именно тогда я и уведомил их.

          • OstaninKI
            /#10560528

            Хм, было бы не плохо прикрепить скрин ответа, на самом деле, иначе не считово ) И как же «золотое правило» — 30 дней до публикации о уязвимости?

            • AllexIn
              /#10560628 / +2

              Если ответ «Спасибо исправим, вот вам бонус», то да, 30 дней или по договоренности.
              А если ответ «Идите в ж***, у нас всё ок!», то смысл ждать 30 дней?

              • OstaninKI
                /#10560636 / +1

                Ну пока про это мы знаем лишь со слов автора. При том, судя по его сообщению выше, прошли только сутки с момента нахождения проблемы (час ночи 10 декабря на скринах). Я крайне не уверен, что за один выходной день ему что-либо ответили вменяемое. Вот скрин ответа был бы очень к месту в данном обсуждении.

                • Gorodnya
                  /#10560672

                  Автор действительно очень поспешил. Получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы.
                  Конечно, ждать так долго, как ждал я (с мая по август — очень похожая ситуация, кстати: Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона) тоже не дело, но один день? Один ответ поддержки? Не разработчиков, не службы безопасности, а просто получив ответ(ы) от службы поддержки?

                  • EvilsInterrupt
                    /#10560866

                    Абсолютно неважно знает сотрудник поддержки о том насколько обстоят дела с безопасностью их системы. Может быть хорошо, а может не очень. Ему это должно быть до лампочки!!! Правильный ответ в этом «Я занес ваши слова в систему, но сейчас выходной день. Лучшие инженеры нашей компании смогут взглянуть на вашу проблему только в понедельник с 11:00». Саппорт не имеет права выносить вердикт «У нас все хорошо». Он не того уровня технарь, чтобы так говорить.

                    Если есть хотя 1 тысячная от 1 % из 100, когда пользователя могут скомпрометировать, то надо СРАЗУ реагировать!

                    • Gorodnya
                      /#10560922 / -2

                      И чем ваш ответ отличается от моего?
                      Я же и пишу, что принимать слова саппорта от том, что уязвимости нет, нельзя — нужно, чтобы вопрос был передан ответственным людям.
                      Автор поспешил с публикацией? Поспешил. Нужно было пробовать достучаться дальше? Нужно было.
                      И не кричите, пожалуйста.

                      • ValdikSS
                        /#10561002

                        Автор следует парадигме full disclosure, а не responsible disclosure.

                      • VolCh
                        /#10562228

                        Тем, что смысл первого ответа «спасибо, но нам не интересно», а второго " спасибо, мы займёмся этим при первой возможности".

                        • Gorodnya
                          /#10562280

                          Я и не говорил, что «спасибо, но нам не интересно» — это правильный ответ. Я сказал, что получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы. И в статье, которую я привёл в пример, указано, что я пытался доказать значимость аналогичной проблемы несколько раз.

                          • Reineke
                            /#10563508 / +2

                            Возникает чувство, будто автор должен быть больше заинтересован в этом вопросе, чем провайдер %)
                            Если его отшил сапортер — дальше, ИМХО, это уже косяк сапортера. Что вместо «мы займемся» (такой же шаблонный ответ, но подходящий под ситуацию), они прикинулись шлангом и сказали «у нас все ок».

                          • VolCh
                            /#10563514 / +1

                            У вас было упорство и желание сделать мир лучше именно так, как вы сделали. У автора немного по другому.

                            • Gorodnya
                              /#10563526

                              Спасибо за такой комментарий.

            • Am0ralist
              /#10561820

              А смысл?
              Вот я еще полгода где-то в Теле2 написал, что как минимум на некоторых типах смартфонов смс с кодом для доступа к личному кабинету в предпросмотре при залоченном экране как раз позволяют увидеть этот самый код любому.
              Банально, делаешь предварительный текст на десяток символов больше — и проблемы нет (как от того же сбера приходит)
              Не, попытки с третьей донести мне написали, что передадут выше, и через несколько месяцев при очередном заходе в личный кабинет я опять ввел код не разблокируя смартфон.

              • Lashchevsky
                /#10562244

                Ну, лично мне удобнее когда код виден сразу. Увидел и сразу ввёл, не надо открывать сообщения. В некоторых случаях бывает, что код не в начале и не в конце, а сообщение большое. И его ещё выискивать надо. Но это скорее вопрос моего удобства + редко когда где-то логинюсь, только дома или в офисе. А так с точки зрения безопасности ваш посыл вполне оправдан.

                • Am0ralist
                  /#10562608

                  Удобство и безопасность редко пересекаются.
                  Так как эта смс типа безопасность — реализация у теле2 конкретно «хреновая».
                  И смысл тогда в этой фикции?

              • VolCh
                /#10563244

                А некоторые сознательно выбирают себе такие модели смартфонов, чтобы видеть подобные сообщения без разблокировки. Уж очень часто на каждый чих эти коды присылают, даже если ты не разработчик.тестировщик подобных систем :)


                Тут я Теле2 поддерживаю — это именно тот сценарий, когда компромисс между удобством и безопасностью отдаётся на откуп пользователю.

                • Am0ralist
                  /#10563258

                  Эм, всю линейку винфонов брали исключительно потому, что там стандартно отображается n-ое количество первых символов в смс?
                  Или я должен бежать менять платформу телефона на другую, сменив оператора? Серьезно?
                  Как я могу вообще изменить эту ситуацию, если таких настроек нет? Какой откуп пользователю? Не использовать данного оператора, если только, так получается?

                  • VolCh
                    /#10563406

                    Если вы брали винфон (и не сдали его назад), значит знали о такой его особенности и были согласны, что начало ваших смс может прочитать любой человек. Это особенности конкретных интерфейсов, а не стандарт де-факто в индустрии.

                    • Am0ralist
                      /#10563604

                      Писать несколько первых слов начала смски в предпросмотре того, что пришло? Это однозначно страшное дело, надо чтоб пользователь даже номера не видел на экране, пока не разблокирован телефон, видимо по вашему.
                      И знаете, ни от одной серьезной организации а-ля банки — ничего в начале смс и не пишут, хотя кучей сервисов пользуюсь. А в теле2 — пожалуйста. В индустрии вообще стандартов нет, окститесь, товарищ.

                  • sumanai
                    /#10563478

                    Как я могу вообще изменить эту ситуацию, если таких настроек нет?

                    В андроиде всё настраивается, не через настройки, так через рут можно сделать всё. Не знаю, что там на виндофоне, но на конкретно моём андроиде 4.1.2 эту функцию можно отключить, что я и сделал.

                    • Am0ralist
                      /#10563626

                      В андроиде всё настраивается, не через настройки, так через рут можно сделать всё.
                      Гениально. Забыли добавить, что а) рут не на всех устройствах можно получить, б) обычные пользователи рут тем более получать не умеют. А так да, это вин, полный фин платформы…
                      Если что-то гугл запретил делать, используйте рут и левые сборки, норм, чё, безопасность фореве. Кстати, когда на 4.1.2 последние заплатки безопасности вообще приходили? к вопросу про безопасность.

                      • sumanai
                        /#10563822

                        Могу повторить, что конкретно у меня настройка отображения СМС является штатной возможностью.
                        Кому надо, тот рут получит.
                        На заплатки мне плевать, старый андроид не более опасен, чем старые инсталяции других ОС, а я думаю вы помните, что МС много раз кидал с обновлениями, и, в отличии от андроида с его многочисленными кастомами, там ничего иправить нельзя вовсе. А плевать лично мне можно, потому что я знаю, что к чему, будет нужно- поставлю кастом с почти последним андроидом, хотя вряд ли он на моём старичке SGS2 будет работать быстро, ну да мало ли.

              • Riateche
                /#10564230

                Странная какая-то претензия. Если смартфон позволяет читать приходящие сообщения без разблокировки, то это проблема смартфона, а не Теле2. И предложенный способ решения тоже странный. То, что на вашем смартфоне достаточно добавить 10 символов, вовсе не означает, что это поможет всем. У меня, например, приходящее сообщение прокручивается в статусной строке полностью, так что никакое количество символов не поможет (правда, в заблокированном состоянии ничего не показывает).

                • Am0ralist
                  /#10564636

                  Он не позволяет читать всё сообщение без разблокировки.
                  Он показывает лишь небольшую часть сообщения, что удобно понимать очередной рекламный спам тебе тот же теле 2, мегафон, банк и прочие прислали, или это напоминание о пополнении баланса, благая весть о начислении зарплаты, срочное сообщение от коллег.
                  А так как уже отвечал предыдущему — стандартов в отрасли нет и каждый делает что хочет, глупо не учитывать такие вещи.
                  Почему то у прочих контор обычно еще много текста «никому не говорите этот код» и все норм. И подобное я видел не только на винфонах, но так как на постоянке не использую прочие ОС утверждать про них не могу.
                  В любом случае мне нравится подход всех выше ответивших «это не баг, это фича», после которого удивляться происходящему в том же ЭР-телекоме не приходится — там абсолютно такие же люди работают. «Это фича!»

    • Turbal
      /#10560740 / -1

      Правильно, а зачем? У них разве есть bug bounty?

      p.s. Хотя я будь на вашем месте, обязательно бы сообщил, не из за корыстных целей конечно, а из благородности.

      • Acuna
        /#10561962

        В смысле? Автор же сразу сообщил.

    • roginvs
      /#10561254 / +1

      И не надо этим засранцам сообщать — весь подъезд своей рекламой обклеили! Чем скорее они разорятся — тем всем лучше станет

      • dean999
        /#10561290

        ))сейчас к половине придут коллекторы) хех)) изи бризи!)

  2. mkll
    /#10560404 / -1

    Разработчики не учли то, что люди используют разные форматы времени; timestamp формируется неправильно, если стоит 12-и часовой формат


    Вообще-то причина не в том, что разработчики чего-то не учли (хотя и в этом тоже, но это уже мелочи), а в том, что они, как и подобает настоящим советским разработчикам, снова изобрели велосипед. ISO 8601 ведь не для них писался, это совершенно очевидно.

    Ну а зависимость формируемого параметра от локали девайса говорит нам, что опять понабрали студентов по объявлению, чо.

    • nerudo
      /#10560514

      Вы думаете только советские студенты этим отличаются? Софт за много-тысяч-баксов зачастую пишут люди, которым на локали кроме [en] глубоко пофиг.

      • tyomitch
        /#10560630

        Уточню: «на локали кроме en-US».
        Потому что англичане точно так же плюются от кривого софта, для которого 11/12/2007 — это 12-тое ноября, независимо от настроек системы.

    • HEKOT
      /#10560540

      как и подобает настоящим советским разработчикам, снова изобрели велосипед

      Уверяю, настоящие антисоветские разработчики не менее, чем настоящие советские, склонны изобретать велосипеды.
      BTW, настоящим советским разработчикам теперь уж лет по 50+. Почему Вы думаете, что в данном случае работал не хипстер-кодерок с гиктайма?

      • mkll
        /#10560850

        «Советские» — это не возраст, это образ мышления. Надо было сказать «савецкие», чтоб дифференцировать от советских, тут я облажался.

        • HEKOT
          /#10560928 / -1

          А какова этимология этого нового для меня слова?

          • mkll
            /#10560942

            Боюсь, я не смогу дать развернутого квалифицированного ответа, да он будет и не слишком уж уместен в рамках данной дискуссии. Если коротко — «сделаем как быстрее, проще и бог на душу положит, а не так, как надо».

            • HEKOT
              /#10562466

              Это не этимология, а значение. Этимология — происхождение.

              • mkll
                /#10563046 / -1

                Вы уверены, что, развивая эту тему, мы останемся в рамках темы поста? Ок. Слово «совок» слышали? Вот оттуда корни растут.

                • HEKOT
                  /#10563102 / +1

                  Рамки темы были покинуты одновременно с первым употреблением слова «советские».

          • mkll
            /#10561334 / -1

            О, минуса попёрли. Интересен возрастной срез минусующих. :)

            • vvzvlad
              /#10562326

              Просто вы написали какую-то чушь, а потом начали доказывать, что вы правы, а остальные нет. Возраст тут не при чем.

  3. achekalin
    /#10560622

    timestamp формируется неправильно, если стоит 12-и часовой формат (как в моём случае), поэтому запрос не может пройти проверку на сервере

    Это пять fail, товарищи разработчики! А настоящий timestamp чем не подошел?

    • LoadRunner
      /#10560644

      Вопрос из категории «Хочу всё знать»: А для чего вообще нужна проверка timestamp?

      • AllexIn
        /#10561054

        Да она вообще не нужна скорее всего. Чисто для статистики. Но верификация корректности фейлится и запрос отклоняется.

      • alexeykuzmin0
        /#10561058

        Может быть, чтобы игнорировать дублирующиеся запросы.

        Например, если мы пишем мессенджер, то будет нехорошо, если при работе с нестабильной сетью сообщения будут просто теряться, поэтому добавляем в мобильное приложение автоматическую переотправку сообщения, пока не получим ответ «все ок, опубликовано». Но что если потерялся именно этот ответ сервера? Тогда телефон попробует снова, и будет отправлено две копии сообщения. Поэтому телефону стоит добавлять в сообщение некий id, и сервер будет игнорировать сообщения с одинаковым id. В качестве такого id подойдет локальный timestamp.

        Хотя не очень понятно, чем именно в их случае сильно мешают дублирующиеся запросы.

        • Pycz
          /#10561168

          Все-таки для id в таком случае надежнее какой-то UUID использовать, таймстампы, вообще говоря, не гарантируют уникальность.

    • mkll
      /#10560960

      Интересно, они его к UTC приводят или локальное время используют? :)

      • dmitry_ch
        /#10560962

        Вы ещё спросите, системное ли время берется, или с доверенного ntp-сервера!

        • mkll
          /#10561304

          Воздержусь, пожалуй.

  4. impwx
    /#10560652 / +3

    Интересно, имеет ли какую-то юридическую силу дисклеймер в стиле «я не несу ответственность за выложенное». Ставлю на то, что он является ничтожным, но хотелось бы услышать комментарий знающего человека.

    • DSLow
      /#10560742

      А почему автор должен нести какую-то ответственность, если он не извлекал из этого никакой выгоды. Он придал проблему огласке, пусть правят. Ответственность проявляется лишь в том случае, когда есть видимое злоупотребление подобным абузом.

      • impwx
        /#10560810

        Неправомерный доступ к информации является нарушением закона по cтатье УК 272. Наличие выгоды — не обязательное, а отягощающее обстоятельство.

        • sumanai
          /#10561552

          Если он запрашивал только свой адрес, то доступ теоретически может быть правомерным, ведь в личном кабинете это и так видно.

          • jo1n
            /#10561610

            Да, запрашивал только свой адрес :)
            Можно ли это считать неправомерным доступом к информации?

    • Arthaus25
      /#10560744

      согласно соглашению Пользователя с Хабром весь контент, выложенный пользователями принадлежит Хабру. По лицензии, которая позволяет изменять контент и использовать так, как только можно.

      Поэтому, по сути, ответственность за это несет Хабр =)

  5. FractalizeR
    /#10560700 / +2

    Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?

    • OstaninKI
      /#10560712

      Не совсем пятницу, скрины от 10.12.17 (это воскресенье), а обновление агента, с которого все началось вышло в пятницу. (все со «слов автора»)

  6. izzholtik
    /#10560716


    Возможно, вы просто залогинены в ЛК?

    • multiprogramm
      /#10560746

      Аналогичная ситуация. Выдаёт город, первую букву улицы, номер квартиры и подъезд. Но количество звёздочек к скрытым символам, похоже, соответствует один к одному. Т.е. если подумать, то можно, например, легко определить улицу и сколько цифр в номере дома, что уже даёт некое сужение информации об адресе.
      Мне, как клиенту, конечно, хотелось бы, чтобы не выводило вообще ничего.

    • jo1n
      /#10560748

      Исправили проблему. Оперативненько :)

      • dean999
        /#10560998

        неа, все равно все видно

        • OstaninKI
          /#10561026

          То ли лыжи, то ли я… У меня звездочки, проверил со своего подключения и с пары проксей… Скрин ответа есть?

  7. XakRU
    /#10560754

    И вроде бы — организация хранит паспортные данные, ФИО, номер телефона, адрес проживания (не всегда совпадает с местом прописки), а значит должны соблюдать ФЗ 152.
    А тут оператор допускает раскрытие персональных данных неопределенному кругу лиц.

    Также не понимаю — зачем провайдерам в личном кабинете пользователя указывать паспортные данные абонента, ведь ФИО должно быть достаточно, ну храните паспортные данные у себя в недоступной публично БД, свои паспортные данные я и сам прекрасно знаю.

    • atronach
      /#10563510

      Для подтверждения различных действий по телефону — подключение услуг, смена тарифа и т.п. Есть исключения в процессах, в некоторых случаях это не требуется, но при любых сомнениях с вас требуют ПД для идентификации и подтверждения.

      • VolCh
        /#10563518

        Зачем их отображать и/или отдавать по публичному API? Более того, такое отображение сильно снижает защищенность в случае, если у злоумышленника есть доступ к ЛК, и он хочет произвести какую-то манипуляцию.

        • atronach
          /#10564114

          Я прошу прощения. Утром, пока мозг не проснулся, ваш комментарий прочитался совсем под другим соусом, конечно вы правы. Кстати именно паспортные данные у меня в ЛК никогда не отображались, только ФИО владельца договора, сам договор и адрес. Провайдер как раз дом.ру

  8. Evgeniy112
    /#10560760

    теперь фраза «я тебя по email вычислю» резко перестала вызывать улыбку

  9. ReturnAnykey
    /#10560762

    Ничего себе дырочка, требуй награды.

  10. Asten
    /#10560764

    Закрыто звездочками уже

  11. dean999
    /#10560766

    У меня уже фикс…
    По телефону не вижу номера, и адрес звездочками)))

  12. nipnull
    /#10560768

    Уязвимость/дыра — не суть важно. Да, серьезно. Да, из-за глупости при разработке.
    Вопрос в том, пытались ли вы до публикации связаться с провайдерами, у которых присутствует данная уязвимость?
    Proof of work до закрытия уязвимости без bug report — спорное действие.

  13. zabbius
    /#10560802

    Когда-то давно интерзет был норм, пока его не купил дом.ру. Перешел тогда с них на другого провайдера, воткнув его вторым аплинком. Интерзету платить перестал и стал ждать, когда же отключат. Как итог, я уже несколько лет абонент-призрак, личного кабинета нету, однако порт активен и доступна вся интерзетовская локалка. Могу много еще плохого написать про дом.ру, но суть в том, что хуже только ростелеком.

    • bro-dev
      /#10561844

      есть в локалке что то интересное чего нет в нете?

      • zabbius
        /#10562416

        dc++ вроде был когда-то, а так знакомая через меня в инет ходила, когда забыла заплатить.

    • dean999
      /#10561982

      аналогично) сижу на шнурке призраке))

  14. dean999
    /#10560924 / +2

    image

    Можно побаловаться…

    • zabbius
      /#10560938

      надеюсь, через ТОР?

      • dean999
        /#10560996

        да я просто так собрал, уже в тех поддержку обратисля тоже, криво звездочками закрыли и нет защиты от перебора

      • dean999
        /#10561940

        generator2015.esy.es

        Если кто хочет пощупать дыру)) номер вводите и город ))можете еще предел))

  15. artemmityushov
    /#10561162 / +1

    Эта проблема у эртелекома была еще лет 10 назад когда я там работал, демонстрировал эту дыру(и еще несколько) начальству, но оказывается что а воз и ныне там.
    Кстати странно что все еще все идет через ppo, это самописная утилита мост между вебсервером и ораклом, для вызовов через веб методов пакетов по url-у /пакет/функция. За 10 лет ничего не изменилось балин.

    • enkaro
      /#10562224

      ppo гораздо больше 10 лет. :)

  16. Tarik02
    /#10562030 / -1

    image

  17. quwy
    /#10562362

    А можно узнать, чем вы смотрите https-трафик мобилки на десктопе?

  18. NYMEZIDE
    /#10562732

    Домру хранит пароли в открытом виде, без соли и без хеша.
    На мой запрос — почему? сказали что они лучше знают как хранить пароли и мол так все делают.

    • artemmityushov
      /#10562774 / +3

      В 2007 лично писал хэширование паролей, не знаю как сейчас, но тогда пароли не хранились. А учитывая что работает еще старый движок биллинга то с трудом верю в это.
      И вопрос — а откуда вы знаете как он хранится внутри? Кто вам дал такой ответ за запрос?

      • NYMEZIDE
        /#10563040

        Мне мой пароль продиктовали в тех.поддержке, он его видел как обычный текст и мы проверяли совпадает он или нет. Если бы пароль был захеширован — то его никак в обратную сторону бы не вернули в обычный текст. Функция не обратима.

        + его присылают на телефон СМСкой тоже в открытом виде. Если бы он был захеширован — то пришел бы другой сгенерированный системой пароль.

        Разве не так?

        • artemmityushov
          /#10563072

          Если это так то могу сказать только одно — в мое время такого бардака не было.
          Есть конечно же подозрение что есть параллельное хранилище зашифрованное для работы суппорта, но это по моему мнению дыра внутри безопасности эртелекома.

          • NYMEZIDE
            /#10563284

            там на самом деле бардак на всех уровнях, начиная с расклейщиков и агентов по подключению. У меня весь подъезд с 1 по 5 этажи расклеили рекламой новых тарифов и условий. причем посадили на клей, заклеили счетчики домовые, щитовые, на стенах, окнах. Дурдом был. Мальчик все валил на менеджеров, мол ему дали стопку — сказали куда хочешь девай, лишь бы было везде. Они от него открещивались, и мол это его инициатива.
            В итоге месяц ругался, пригрозил написать заявление коллективное, по факту вандализма. На след.день прибежали с ведерком, тряпочкой, отодрали.
            Раньше ругался с ними по поводу качества интернета, сейчас все хорошо с этим.

            Еще проблема есть в личном кабинете. Баланс некоректный у них. Списание было на 1-2 мес. вперед. Причем в биллинге списания нет. А на сайте есть. И таких косяков по мелочи набирается снежный ком. Увы, но бардак он везде…

        • MasMaX
          /#10563216

          Да все верно. Суть хеша что он работает только в одну сторону. Т.е. при логине сравнивается хеш логина в базе и вычисленный хеш пароля который дал юзер.

          • artemmityushov
            /#10563458

            Кажется у вас бардак в голове) Почитайте как-нибудь как устроены правильные системы проверки пользователей и для чего в базах хранится хэш пароля, хэш логина не нужен совершенно.

            • VolCh
              /#10563496

              Вообще, в хэшировании логина есть смысл, особенно если логином является иной идентификатор будь то какой-то адрес (мыло, телефон), учётный номер в иной системе (ИНН, СНИЛС) или другой легко персонализируемый идентификатор (номер паспорта, например).

        • Jin_89
          /#10563512

          Кто знает, вдруг они оперативно брутят хеш перед тем как показать его оператору

          • sumanai
            /#10563828

            Даже если сбрутят, не факт, что не наткнутся на коллизию, то есть пароль может и не совпасть. А брутить современные алгоритмы с большой длинной, где коллизия практически исключена, как-то накладно, даже если у них в подвале припрятан квантовый компьютер на пару сотен кубит.

    • dean999
      /#10564298

      Хранит пароли в открытом виде, мне пришла смс восстанолвения, там номер договора и пароль)) изи)

  19. trasser
    /#10564790 / +1

    о, лоховский домру в своем репертуаре))

  20. m_a_d
    /#10565128

    Кстати, кто-нибудь знает точное наименования и адрес юр.лица, от имени которого работает Interzet Dom.ru? Три года как отключился от них, а они продолжают названивать по телефону. Не могу найти контакты, куда отправить заявление на запрет обработки ПД.