Хакер рассказал журналистам, что изначально он купил SIM-карту «МегаФона» и решил поменять пароль к личному кабинету, после чего обнаружил, что он состоит всего из шести цифр. Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. Как следствие, с помощью простой утилиты хакер смог подобрать пароль методом грубой силы — перебором числовых комбинаций. С использованием многопоточного режима на это уходило до получаса.
Обнаружив такую серьезную уязвимость, w0rm заинтересовался системой информационной безопасности МегаФона в целом. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря они, сами выложили это всё в расчете, что никто не найдёт, и забыли удалить».
