Хакер взломал МегаФон

Артур
Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора, сообщает издание TJ. 

Хакер рассказал журналистам, что изначально он купил SIM-карту «МегаФона» и решил поменять пароль к личному кабинету, после чего обнаружил, что он состоит всего из шести цифр. Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. Как следствие, с помощью простой утилиты хакер смог подобрать пароль методом грубой силы — перебором числовых комбинаций. С использованием многопоточного режима на это уходило до получаса.

Обнаружив такую серьезную уязвимость, w0rm заинтересовался системой информационной безопасности МегаФона в целом. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря они, сами выложили это всё в расчете, что никто не найдёт, и забыли удалить».

В интервью TJ хакер рассказал, что в файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, но некоторые оказались все еще рабочими. Таким образом ему удалось попасть в систему администрирования домена megafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs.
0
Источник:

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+428
Забавно. Судя по описанию, он даже не сильно напрягался, делая это. Ай да МегаФон!
31 августа 2015 в 18:01
#
–28
Да, какой облом, он думает, что мегафончики его озолотят. Щас, и даже не заметят...

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 18:32
#
+156
Ему повезёт, если не заметят. А то могут и в суд подать.

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:16
#
mystique_man
+1498
ему повезет если останется на свободе

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:59
#
+50
Не найдя ничего ценного, что можно было бы выгодно слить — парень просто решил хотя бы имя себе сделать. Хоть какое то...

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:13
#
+156
Вы так уверены, что он не нашёл и не продал? :)

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:16
#
Lord
+599
"Чудны дела твои, господи" , штрафовать таких операторов надо за такую халатность, не сеть а дыра.

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:36
#
+18
Купил симочку парень)

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 19:44
#
igadina
–150
Хотел с дырявым оператором начать сотрудничать.Теперь конечно НЕТ.

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 20:34
#
+100
Дык а че он там нашел то? Если взломал весь мегафон, то наверняка какая-то секретная инфа есть. Давай, секретную инфу в студию!
Файл от джиры и несколько паролей каких-то пользователей. Как-то не богато.
31 августа 2015 в 20:46
#
Terverus
+140
Не каких-то пользователей, а разрабочиков.

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 21:14
#
Сергей Калитурин
+71
Могут в суд подать :/

Сообщение отправлено из мобильного приложения iGuides
31 августа 2015 в 22:40
#
inflamatio
+727
ИМХО чёрный пиар...

Сообщение отправлено из мобильного приложения iGuides
1 сентября 2015 в 14:56
#
Геннадий Сокольский
+29
Лучше бы безлим всем слелал. Героем бы стал

Сообщение отправлено из мобильного приложения iGuides
1 сентября 2015 в 16:02
#
–537
Он прям взял и усе рассказал статья пустышка

Сообщение отправлено из мобильного приложения iGuides
2 сентября 2015 в 08:13
#
+40
Бредятина....не верю
2 сентября 2015 в 20:56
#