Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора, сообщает издание TJ.
Хакер рассказал журналистам, что изначально он купил SIM-карту «МегаФона» и решил поменять пароль к личному кабинету, после чего обнаружил, что он состоит всего из шести цифр. Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. Как следствие, с помощью простой утилиты хакер смог подобрать пароль методом грубой силы — перебором числовых комбинаций. С использованием многопоточного режима на это уходило до получаса.
Обнаружив такую серьезную уязвимость, w0rm заинтересовался системой информационной безопасности МегаФона в целом. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря они, сами выложили это всё в расчете, что никто не найдёт, и забыли удалить».
В интервью TJ хакер рассказал, что в файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, но некоторые оказались все еще рабочими. Таким образом ему удалось попасть в систему администрирования домена megafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs.
+428