• 74940
  • 249
  • 7
Нравится блог?
Подписывайтесь!

большая дырка в IDPORT.kz!!!

Уважаемые мегалайнеры благодаря вводу в действие единой системы авторизации idport.kz, в ваши аккаунты на мегалайн могут сделать изменения кто угодно.

При входе в личный кабинет мегалайн через авторизацию idport используется следующая ссылка

http://cabinet.idport.kz/?lang=rus&cab=mg&codeword=xxxxxx xxxxxx это шесть цифр вашего id, так вот если эти циферки поменять то попадаешь абсолютно в чужой личный кабинет и вот там уже можно наделать делов.

Например если ввести http://cabinet.idport.kz/?lang=rus&cab=mg&codeword=123456 то вас перекинет на личный кабинет мегалайна по следующей ссылке http://82.200.157.17/billing-dealer/login.do?accountId=123456&methodId=2&secretKey=1284126806896

Вот изменив всего 1 циферку я попал в чужой кабинет

PS на момент проверки 22-20 доступ закрыли к кабинету айдипорта, теперь наверное откроют только после того как пересмотрят процедцуру идентификации.

 

MaDen
10 сентября 2010, 18:05
10143

Загрузка...
Loading...

Комментарии

Надеюсь в саппорт отписали?
MaDen
0
0
Нет не отписал, думаю сегодня уже бесполезно куда-то писать. отсюда казахтелекомовцы быстрее узнают, чем через электронку. Я вообще не понимаю как можно было допустить такое? Кто то же должен был это тестировать
Судя по уязвимости, тот кто так сделал авторизацию, вообще думать не умеет. Программеры херовы.
ВОТ ВОТ, надеюсь после данного поста их заставят думать. Причём вообще странно что портал айдипорта по запросу всего лишь айди выдает пароль для авторизации на сайте мегалайна и ссылка уже выходит с паролем http://82.200.157.17/billing-dealer/login.do?accountId=123456&methodId=2&secretKey=1284126806896. Т.Е. в данный моммент можно запросить пароль на любой акк и потом использовать при авторизации спомощью methodId=2
Ох пля... Они совсем тупые там :)
Аскар, при всем уважении, но ваши горе-программеры допустили самую ужасную ошибку web-программиста. Системы кросс-доменной авторизации требуют тщательной разработки и тестирования. Здесь же кроме как тупостью, я это назвать не могу. Это весомый аргумент для таких выводов. Каким бы колким он не казался для вас. Я считаю, что допустившие такие ошибки вообще занимаются не своим делом.
Хм, самое интересное, что говорите о том, чего нет на самом деле! Что значит methodId=2 для вас? И в чем разница от метода methodId=777? Я вообще не слышал, чтобы ID порт официально анонсировали.
чаще всего такие казусы возникают не из за умственных способностей, а из за отсутствия чувства ответственности.
Если учесть размеры организации, то получается ни одного человека и даже ни одной группы.
Ну скажите тогда как на самом деле? я уже вижу , что для вас данная схема реализации как раз была нормой!
AskarYes, комментарии от Казахтелекома будут? кто допустил такую ошибку?
Какие комментарии вы хотите услышать? Телекому всё пофиг, лишь бы денюшку содрать, да придумать как бы абонента побольнее обидеть?

А если серьезно, то вполне очевидно что была проблема, которая достаточно быстро была исправлена. Также, очевидно, что ответственных за данный проект, мягко говоря, не похвалят.
Проблема не устранена! Они просто закрыли доступ на личный кабинет портала.
Послушайте, Дмитрий. Вы так уверенно обо всем говорите! Откуда вы знаете, исправили или нет. Никогда не говорите ничего, в чем не уверены! Смешно смотритесь.
Уважаемый Lamer, меня зовут не Дмитрий. Смотрю вы очень много знаете.
Se7en
0
0
да они епнулись чтоли
Zethan
0
0
Капец. Надеюсь у меня не такой тривиальный айди как 123456
FixeR
0
0
Простите, но без этого в такой теме никак
(15.57 Kb, 320x240)
хе-хе) казахтелекомовцы не перестают удивлять)))) вообще интересно, что за криворукие программеры сидят там? пароли передаваемые на сервак они не шифруют, проверки не стаят))) что дальше? наверно выложат сразу базу мегалайновцев с паролями и логинами)))
MaDen
0
0
И потом они скажут, что за свои логины и пароли несут ответственность только сами пользователи!!!
Че удивляетесь народ? Все таки в Казахстане живем))
Вот только не надо при каждом удобном случае все на страну списывать.
Живем в стране где всё решает Маке, Саке, Агашки..... где власть нагло прибавляет полномочие, где почти пол страны Казахов не говорят на родном языке, где власти злоупотребляют полномочиями, где можно закрыть любую тему если имеешь приличный счет на Швейцарском банке............ а что еще думать о стране?
Если смотреть со стороны жопы, говно вам обеспечено.
:)))))
это крылатая фраза какая то? Надо запомнить :)
нет не крылатая. коммент стандарта навеял.
KATPAH
0
0
вот только не надо выгораживать страну
и ?
хотите навязать что: "родина-мать твоя, люби какая бы она не была" ?
Я люблю землю, но Я ненавижу большинство аборигенов проживающих на этой территории, наихудшие из рода человеческого
У.... больше нет вопросов....
Еще один ушлепок, который ненавидит но терпит!
иди ты нахуй мамбет
Я ненавижу - но истребить вас не смогу
Казахстан тут не причём. Дело в отсутствии конкуренции, и, как следствие, в потере мотивации делать продукт качественно.
Прекрасно. А я тут сижу выпендриваюсь, посложнее пароль выдумываю. Нафиг надо тогда? О_о
Да уж. Ситуация, конечно, вызывает реакцию, которую можно описать, как facepalm.
Я надеюсь, что данный пост привлечет внимание Казактелекомовцев. Но... А не привлечет ли этот пост ранее внимание отечественных кулхацкеров, которые так и хотят посмотреть личную информацию из "личных" кабинетов?
Ну это еще ничего. Хорошо, что еще не придумали передавать пароли методом GET. :D
сейчас сольют всю информацию с личных кабинетов. Это ничего?
Ну остается только на лучшее надеяться. Да пароли и мыла менять...
а на что тут надеятся? если всё обстоит так как вы говорите, то скачать все страницы перебрав все варианты ID несоставит труда, если это уже кто нибудь ни сделал.
интересно, а что это за ID. пока человек незалогинился через общий экран доступа, такой ID в любом случае уже есть или он генерируется при первом входе в систему?
MaDen
0
0
Я думаю у каждого пользователя мегалайн есть этот айди, с помощью них они и завязали между собой все кабинеты. Это у нас присутсвуют логины и пароля, а они все наши акки просто пронумеровали.
ну то что есть какой то Id, понятно, но как я понял у всех систем была своя учётная запись, а значит вполне вероятно что и свой ID в каждой системе.
У кого-нибудь есть контакты дежурных? Нужно потушить сайт idport вообще, иначе сольют всю информацию, если уже не слили.

Я так понимаю это не сегодня обнаружили?
MaDen
0
0
Обнаружили сегодня, так как только сегодня заработала авторизация и привязка всех акков, до этого ничего этого не было, просто оформление сайта.
YA_YA
0
0
ПиПеЦ!Криворукие операторы!:(Нах тогда пароли???А я корячусь выдумываю(((
YA_YA
0
0
А за то что я залезу к чужому челу ниче мне не будет?))
Скорее всего, нужно было просто поставить в известность саппорт, без публикации в блогах. Что-то мне подсказывает, что кулхацкеры будут действовать быстрее, чем Провайдер.
MaDen
0
0
Провайдер должен понести за это ответственность, а если об этом не написать, то также и будет дальше продолжаться этот беспредел, а так мы можем показать, что не только пользователь должен нести ответственность а в первую очередь провайдер!!!
Видимо уже закрыли. Потому что при попытке открыть ссылку выходит окно для ввода логина и пароля
Да, оперативно закрыли. Хорошо.
Ну по идее она просто так и недолжна открываться. Сначала нужно залогиниться своим паролем, а затем поменять ID.
нет так не надо было делать, можно было просто кликнуть на ссылку и все.
Да я сначал тоже думал что авторизация нужна, нет ничего не надо было. Любой кликает на ссылку и сразу попадает в чужой кабинет.Я же говрил что быстрее закроют если сделсь написать, чем в тех поддержку.
MaDen
0
0
Да доступ закрыли.
MaDen
0
0
Все! закрыли доступ на cabinet.idport.kz теперь врядл откроют пока не устранят косяки!!!
Вы об этике слышали? О том что вы своим постом могли наделать гораздо больше бед, чем наличие этого бага, а? Вы выше сами признались, что в саппорт не писали, а радостно бросились кричать на ёвижене про уязвимость так всеми ненавистного национального провайдера, вы о чем думали? А ну да, думали о том, что вас заплюсуют и все дружно опять поржем над косячниками телекомовцами. Ма-ла-дец.

Не удивлюсь, если благодаря вашему рвению уже кто-то нагрелся. А вот те, на ком нагрелись благодаря этому факту (или даже не этому, а за то время, пока пост тут красовался) могут теперь запросто катить бочку на вас. Кстати, если копнуть, то и уголовную ответственность можно понести. Я не шучу. Вон ниже, пользователь O1zhas, вполне мог пострадать благодаря вам.

Благих намерений в вашем посте — ноль целых, ноль десятых. Вы обязаны были сообщить об уязвимости в саппорт, и только после того, как дырку закроют, можно было радостно, хоть до усрачки, кричать о том, какой вы внимательный и какую дырищу вы нашли. Активисты, йопт.

Минусуйте, пофиг. Дело не в КТ, будь на его месте любой другой провайдер и появись такой пост, я написал бы тоже самое. Дело в том, как у нас любят высмеивают чужие косяки, не подумав о последствиях.
MaDen
0
0
Благодоря моему посту это дело закрыли за 3 часа, и подскажите как можно было на этом нагреться? логины в аккаунтах все равно никто не знает. Значит я теперь ещё виноватый остался? Знаете я сколько раз обращался в саппорт с проблемами и также говрил им как их решить,но они вообще там мало что понимают и не хотят они решать проблемы. На днях одно юр.лицо подключили к мегалайну, у них там 3 паралельных телефона и над было воткнуть мегалайн, так вот пришел мастер и влепил мегалайн без сплитера, естественно через каждые 2-3 минуты разрывы. вОТ ОБЪЯСНИТЕ КАК ТАК МОЖНО БЫЛО? А когда они пришли второй раз он поставил сплиттера перед каждым телефоном! И пока бы я писал в саппорт, и они бы мне ответили, если бы ответили уже гораздо больше народу воспользовалось этим, а так за 3 часа все это дело устранили. эффект юви!!!
Всё равно не этично это, в любом случае предварительно нужно было писать в саппорт. Вы же признали что этого не делали. Может я и загнул про уголовную ответственность, но светить способом доступа в ЛК... мде.

Вы смешные такие, ей богу, о косяках КТ так любите кричать, удивляетесь тупости персонала, а когда что-то происходит действительно хорошее — об этом все молчат. Думаете там одни идиоты? Думаете другие провайдеры лучше? Думаете в хвалёной России не такие проблемы? :)))

Эффект юви. Ну-ну. Здесь есть представители КТ, адекватные, которых тут даже любят, можно было им в лично написать, до общественной публикации.

Здравый смысл, похоже, здесь не любят.
MaDen
0
0
Улыбнуло про уголовную ответственность, это значит не казахтелеком ддолжен нести а я? Я их системы не взламывал, и это даже не дырки, это они такой алгоритм предумали, который не защищает наши учетные записи.
Зато вы так легко и непринуждённо засветили чей-то айдишник и скриншотик. Ладно хоть догадались убрать.
Да засветил айди 123456, но через 10 минут туда уже нельзя было зайти так как личный кабинет требовал смены пароля, а без знания старого пароля, новый не поставишь!!!
Уважаемый, личный кабинет на то и «личный» — это конфиденциальная информация в любом случае! Как до вас это-то не дойдёт.

Даже если там логин не светится, его можно подобрать и это гораздо легче подбора пароля. Это во-первых. Во-вторых — можно сменить пароль интернета, а это уже не мало. Можно просто напакостить и сменить mаc-адрес. Можно увидеть контрольный вопрос и ответ на него! Сменить e-mail... Видимо это всё вы тоже считаете не существенным.

Не важно за сколько времени это устранили. Важен сам факт... ладно, похоже что вы не осознаете и будете и дальше искать отговорки и оправдание.
Все претензии в казахтелеком!
мде, тяжелый случай
Полностью согласен nikonor даже потому, что в принципе это ничего и не дает. Ну попали на страницу, где сразу затребовалась смена пароля и что?
Zethan
0
0
Как они, интересно, столь быстро обнаруживают эти записи? Представляю, сколько шума там сейчас. Наверное, без askaryes не обошлось.
nfmka
0
0
Не удивлен. Года 4 так назад, я баловался безопасностью и пробывал ломать все подряд.
Так вот пароль на главный сайт телекома telecom.kz был (внимание!!!) telecom . Так что нечему удивляться =))) В подтверждение можете поискать про взлом казактелекома, в сети гдето валяласт моя статья про это.
после того как ты это написал, еще больше народу ломанется "творить делов"
l_lex
0
0
Ну что, это же КТ! Надежности прям выше крыши... Я ничему не удивляюсь. Их клевые мастера, которые настраивая мегалайн - простым смертным, могут забыть включить модем... Э-хэй, все в норме! Они еще могут предъявить штраф, тем кто заходил по ссылке "http://cabinet.idport.kz/?lang=rus&cab=mg&codeword=123456" и скажут что ничего небыло.
ftw
0
0
а поддержка была в курсе =)
все банальней, всем пох)
MaDen
0
0
Ну они же сами это сделали, как это они были не вкурсе, если они сами сделали такой алгоритм работы. И все говрят про тех поддержку, подскажите где и какая тех поддержка? Скажите куда в следующий раз обращаться напрямую!!! Я с радостью поделюсь ещё информацией. Когда я прошу работников казахтелекома помочь и устранить какую либо проблему - они все забивают на это. И приходится постоянно кого-то умолять.
ftw
0
0
это вполне так)
ftw
0
0
у них так устроено, проще и дешевле замолчать)
ftw
0
0
пока не клюнет
Lamer
0
0
Помоему кипиша больше подняли, чем есть на самом деле. Саппорт отреагировал, все позакрывали, чего кипятитесь то?
я понимаю что вы сюда специально для комментирования залогинились.
Интересно только, ник вы себе специально выбрали чтобы к комментариям подходил?
"чем есть на самом деле"
я удивляюсь что наоборот, кипиша совсем нет - очень странно!
Lamer
0
0
Да мне интересен этот пост. Ник роли никакой не играет, а то, что "кипиша нет совсем" оно и верно. С чего поднимать панику, если толка никакого от того, что кто-то поменял цифорки?
Громкая фраза "попал в чужой личный кабинет", точнее попал на страничку, где требуется смена пароля. Ну так для этого нужно помимо ID знать кучу всяких данных. Смешно смотреть, как люди слышат звон, не знают где он, но на всякий случай надо в набат бить! Вдруг что и перепадет.
вам просто повезло, что maden написал сюда. У меня небыло возможности на тот момент проверить что к чему, но из скриншота было ясно одно, использую эту уязвимость можно было очень легко составить полную базу ваших клиентов с реальными именами.
Ну во первых попали не на смену пароля , а на сам личный кабинет, на смену пароля попадали уже потом, так как в кабинете установлено что через определенное количество требуется смена пароля. Первый раз я попал , когда изменил цифры, а второй раз когда просто забил 123456. может вы ещё скажите, что ничего не было?
На какой личный кабинет вы попали?
А вы для каких целей интересуетесь? У меня есть скриншоты на какой личный кабинет я попал. на скриншоте был первый раз, далее подставив другой ид, я уже паоал ещё на один личный кабинет. пржде чем писать здесь я проверил и зашёл на кабинета 3-4.
Цель банальна. Мне интересно знать на "какой", а не на чей кабинет вы попали? Кабинетов то много.
Личный кабинет мегалайна
при вводе ссылки cabinet.idport.kz Вас сразу же перекидывало на http://82.200.157.17/billing-dealer/login.do?accountId=123456&methodId=2&secretKey=1284126806896 и вы уже оказывались в личном кабинете мегалайна.
Вот это я и хотел узнать. А потом что, когда попали туда?
А потом я ничего не делал, так как зачем оно мне? из
Lamer
0
0
В том то и дело, что Ваше заявление сейчас настолько беспочвенны. Первый раз слышу, что по скриншоту можно делать такие выводы. Базу никак не возможно составить, данных маловато однако для этого.
MaDen
0
0
Но очень многим людим данные поменять же можно было? смена проля на интернет, смена емайл. Вам то конечно это кажется мелочью, а вот у людей у которых перестанет работать мегалайн - это уже большая проблема.
А мне вот интересно как пользователь с низким рейтингом комментирует в сообществах?)
Lamer
0
0
Адрес тоже сменится не может, затребуется старый пароль.
MaDen
0
0
Пароль на интернет меняется без запроса пароля.
MaDen
0
0
Также можно тарифный план поменять, а потом вот люди удивятся.
Lamer
0
0
Больше всего волнует другой вопрос. Автор, кто вам сказал, что 10 числа вы сможете в личный кабинет попасть? Откуда такая информация о существовании этого проекта?
Насколько я помню на Ювижн уже был ознакомительный пост об IDPORT от Аскарйес!
MaDen
0
0
Мне никто ничего не говорил. Об айдипорте уже давно все говорят. Вот пост на блоге
itblog.telecom.kz
Плюс на сайте idport.kz нет надписей, что это проект и сюда не входить. Сайт уже выглядет вполне рабочим и сам предлагает авторизоваться и зарегистрироваться.
а по-моему "УВАЖАЕМЫЙ" nikonor УВАЖАЕМЫЙ MaDen никому и ничего не должен...
и еще по-моему
уважаемые специалисты уважаемого КТ вот те должны...
Спасибо за пост!!! Интересно.
Предлагаю совершить путешествие в старинный курортный город Будва.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Дорога Алматы – Хоргос. Впечатления от первой поездки

Дорога Алматы – Хоргос. Впечатления от первой поездки

Если раньше путь до Хоргоса занимал около 5 часов по Кульджинской трассе, то сейчас время до границы с Китаем сокращается до 2,5-3 часов. Уже сейчас можно ехать по 4-полосной дороге с цементобетонным покрытием.
theYakov
15 сент. 2017 / 9:35
  • 5367
  • 12
Работа в Mc Donald's. Советы и лайфхаки для гостей

Работа в Mc Donald's. Советы и лайфхаки для гостей

За три месяца я поработала в трёх разных сферах. И сегодня, хочу поведать вам о работе в одной из богатейших компаний мира. Звучит значительно лучше, чем «Я работаю в Mc Donald’s».
madiNAtty
15 сент. 2017 / 12:44
  • 2981
  • 16
Фильм «Крылья, подаренные матерью» учит ценить своих близких в любых ситуациях

Фильм «Крылья, подаренные матерью» учит ценить своих близких в любых ситуациях

Вчера состоялся предпремьерный показ нашего отечественного фильма "Крылья, подаренные матерью", после просмотра которого защемило сердце - настолько правдоподобной казалась эта история.
Gulmira-I
14 сент. 2017 / 9:34
  • 2426
  • 0
Почему депутат Божко хочет ограничить приток сельской молодёжи в города?

Почему депутат Божко хочет ограничить приток сельской молодёжи в города?

Вице-спикер Мажилиса Владимир Божко остановился на некоторых деталях известного конфликта в Астане возле строящегося «Абу Даби Плаза», затронув проблему «многочисленной сельской молодёжи»...
openqazaqstan
19 сент. 2017 / 13:16
  • 2119
  • 54
«Моя депрессия длилась больше двух лет». История о том, как я была готова сдаться

«Моя депрессия длилась больше двух лет». История о том, как я была готова сдаться

По данным статистики 2017 года Казахстан занимает 4 место по самоубийствам. Говорить об этом - социальное табу. Мы игнорируем разговоры о депрессиях. Потому что нам страшно.
goribaldi
18 сент. 2017 / 15:45
  • 2088
  • 60
Фотопрогулка по Алматы. Иностранцам не интересны наши стеклянные здания и моллы

Фотопрогулка по Алматы. Иностранцам не интересны наши стеклянные здания и моллы

Алматы - самый лучший город для меня, так как родной и самый близкий. Так как я много лет прожил за рубежом, могу сказать свою точку зрения, что надо делать у нас.
Ispanec
15 сент. 2017 / 6:20
  • 2019
  • 21
«Папина принцесса» или «обезьяна с гранатой»? Случай в бассейне

«Папина принцесса» или «обезьяна с гранатой»? Случай в бассейне

Мужчины спокойно подчиняются логичным правилам, большинство женщин пытаются выторговать себе особые условия. Я убеждалась в этом много раз.
ValentinaVladimirska
18 сент. 2017 / 14:25
  • 1690
  • 30
Бой Головкина и Альвареса завершился ничьей

Бой Головкина и Альвареса завершился ничьей

Канело согласен на реванш, что неудивительно, Гена тоже "за". Все это было немного ожидаемо - эксперты отмечали, что промоутеры надавят на поединок, и захотят растянуть его на трилогию.
Trequartista
17 сент. 2017 / 0:15
  • 2025
  • 17
Лайфхаки для путешественников. Как я не заплатила ни цента за проживание в Испании

Лайфхаки для путешественников. Как я не заплатила ни цента за проживание в Испании

Бесплатное проживание и завтрак в Испании, как прокачать иностранный язык и где поймать бесплатные ништяки в Европе. Если вы backpacker, который пересекает границу разных стран каждую неделю -...
dianaobyrne
18 сент. 2017 / 12:16
  • 2202
  • 1