--- title: "Вопрос ИБ на примере уязвимости Pootin'a" description: "... и поэтому я их \"хакнул\" чтобы показать две основные проблемы, обсуждение которых я еще не встреч..." author: "qarden" published: "2018-03-09T05:19:26+00:00" modified: "2018-03-09T09:05:59+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/vopros-ib-na-primere-uyazvimosti-pootin-a-798915" markdown_url: "https://yvision.kz/post/vopros-ib-na-primere-uyazvimosti-pootin-a-798915/markdown" site_name: "Yvision.kz" --- # Вопрос ИБ на примере уязвимости Pootin'a > ... и поэтому я их "хакнул" чтобы показать две основные проблемы, обсуждение которых я еще не встреч... ... и поэтому я их "хакнул" чтобы показать две основные проблемы, обсуждение которых я еще не встречал на просторах казнета. Кто не в курсе о "нашумевшем аналоге заблокированного в Казахстане приложения GetContact", погуглите чтобы понять о чем сейчас пойдет речь. Перед началом самого поста, обратите внимание на демонстрационное видео снизу, где за 20 секунд было скачано 18312 имен по 2182 номерам среди 3000 "красивых" номеров вида +7(701/777/705/)AAA-BB-CC и случайно узнал номер всеми любимого нами Геннадия Геннадиевича Головкина a.k.a GGG: ![Вопрос ИБ на примере уязвимости Pootin'a](https://storage.yvision.kz/images/user/399497/c173ace9f864c431207a0775b32afc.gif) На момент написания этого поста было уже свыше 97 миллионов телефонных номеров в базе Pootin.io. Хоть это число меньше чем у его оригинального аналога GetContact.com - 2.9 миллиарда, на разработчиков ложится серьезная ответственность. Для начала поговорим немного об угрозах и рисках данного приложения. Благодаря беспечным пользователям, у Pootin'a сейчас огромная база телефонных номеров, которые в случае утечки данных могут быть использованы злоумышленниками в различных сферах нашей с вами жизни.Приведу пару примеров того, что можно сделать обладая такой базой. Я слышал истории, когда из тюрьм звонили людям с различными видами угроз по отношению к детям и внукам с целью выкупа. Теперь благодаря Pootin'у, за 20 секунд я скачал у них чуть меньше двадцати тысяч записей со своего персонального ноутбука. Среди этих номеров, были несколько контактов в виде "Айдос мамасы", "бабушка Дашы", и т.д. А теперь представьте как бы это облегчило задачу для подобных обзвонов. За базы телефонных номеров компании платят огромные деньги, чтобы собрать свою базу клиентов. Помимо мошенников и скамеров, продажники пропихивают свой товар постоянно названивая своим потенциальным клиентам. Например, прошлым летом я допустил ошибку, когда разместил свой сотовый номер при регистрации домена. В результате начали поступать назойливые звонки по интернет-маркетингу якобы от "Google", бизнес-продвижению и т.д. Это всего-лишь пара примеров. Главное понять, что ваши номера и другие конфиденциальные данные не должны передаваться неавторизованным лицам. По сравнению с обычной базой телефонных номеров Pootin может чуть больше, а благодаря его уязвимостям, можно было получать данные по номерам в автоматическом режиме. Через свой ноутбук это примерно 150 номеров в секунду (дальше не заходил чтобы не напрягать их сервер). Но при реальном желании скачать как можно больше данных, несложно ускорить и оптимизировать процесс. Также была получена возможность скрывать номера из базы Pootin'a в автоматическом режиме. И вместо того, чтобы платить деньги за удаление номеров из базы, можно просто запустить несложный скрипт. Данная уязвимость, скорее всего несет вред только самой команде разработчиков, так как они теряют деньги и потенциал. Еще есть схожая уязвимость, но уже при добавлении номеров в базу. Что делать с такой возможностью, дело вашей фантазии (или просто подставляйте своих знакомых ложными именами типа "Снежана", "Тима трава", и т.д.). Данный пост был написан с двумя побуждениями: 1. Чтобы казахстанские разработчики слушали дядю Бена: ![Вопрос ИБ на примере уязвимости Pootin'a](https://storage.yvision.kz/images/user/399497/5be7b32bf557cc7c8715cde57efa38.jpg) Не только с моральной точки зрения, но и потому что сейчас информационная безопасть находится в приоритете, а в лидирующих странах за такие проколы просто сожрут. 2. Нужно начинать дискуссии по информационной безопасности среди народа. Также как детям говорят не общаться с незнакомцами на улице, важно обучать базовым знаниям кибербезопасности. Не стоит доверять свою и чужую конфиденциальную информацию всем подряд. Однако, думаю именно подобные проколы дают толчок в нужном направлении (почему-то общество любит решать проблемы, а не предотвращать). В заключение скажу, что я не буду расписывать здесь детали того, каким образом был получен доступ к базе Pootin'a. Главное знать, что человек, не специализирующися на кибер атаках, получил возможность проводить вредоносные действия благодоря неосведомленным пользователям и проколу разработчиков. Возможно профессиональные хакеры уже получили все 97 млн номеров и планируют свои атаки (надеюсь нет). ПО ДАННОЙ УЯЗВИМОСТИ УЖЕ состоялся диалог С РАЗРАБОТЧИКАМИ. ВСЕ СКАЧАННЫЕ МНОЙ ДАННЫЕ УДАЛЕНЫ, А УЯЗВИМОСТЬ УСТРАНЕНА СО СТОРОНЫ КОМАНДЫ POOTIN.IO. А ЕСЛИ ВАМ ИНТЕРЕСНО, ТО НА habrahabr.ru Я СКОРО ОПУБЛИКУЮ ПОСТ О ТОМ, КАКАЯ ИМЕННО была УЯЗВИМОСТЬ У POOTIN'A С ТЕХНИЧЕСКОЙ стороны. ЧТО КАСАЕТСЯ ОРИГИНАЛЬНОГО GETCONTACT.COM, ТО ПОЛУЧИТЬ ПОДОБНЫЙ ДОСТУП МНЕ НЕ УДАЛОСЬ. P.s. когда Pootin запрашивает разрешение на доступ к вашим контактам, откажите и продолжайте пользоваться. --- Source: [https://yvision.kz/post/vopros-ib-na-primere-uyazvimosti-pootin-a-798915](https://yvision.kz/post/vopros-ib-na-primere-uyazvimosti-pootin-a-798915)