Possíveis vazamentos de dados pessoais ou como o Dom.ru fornece acesso total à sua conta pessoal através de um link de http

A vulnerabilidade foi descoberta pela primeira vez em 26/06/2020, que o autor relatou imediatamente ao suporte técnico do Dom.ru. O autor, longa e persistentemente, tentou resolver o problema de forma não pública, mas encontrou uma completa falta de entendimento por parte de especialistas técnicos. O provedor garante que o caso do autor é isolado, mas hoje a confirmação do problema veio de outras fontes. O autor não publica dados pessoais de ninguém e não pede ações ilegais. A redação deste artigo é uma medida obrigatória.



Embora, se o provedor disser diretamente que está tudo bem, a descrição publicamente disponível da operação de seus serviços não deve assumir riscos.



Qual é o objetivo?



Um grande provedor de Internet Dom.ru intercepta o tráfego http do usuário e, de tempos em tempos, o redireciona para sua página de publicidade, e não para a página de destino. No corpo da página de publicidade, o provedor envia um link para configurar ou cancelar a assinatura de notificações de publicidade, o que leva à conta pessoal do usuário. Esse link fornece acesso total à conta pessoal do usuário sem inserir um nome de usuário e senha e permite fazer isso de qualquer lugar do mundo. A página de publicidade é transmitida pelo protocolo http não criptografado. Isso significa que um vazamento pode ter ocorrido em qualquer nó (ou mesmo através de uma inserção ) entre você e o servidor responsável pela emissão de páginas de publicidade (info.ertelecom.ru), e não importa que a conta pessoal, depois de clicar no link, funcione via https.



Meus dados vazaram?



O provedor em si não informa exatamente. Se você viu recentemente uma página semelhante aberta pelo protocolo http, é suscetível a um vazamento.



imagem



Como se proteger?



  • Vá para as configurações da sua conta pessoal e, na parte inferior da página, selecione "Configurar notificações do Dom.ru" e, pelo menos, desative toda a publicidade do navegador.



    imagem

  • Se você viu recentemente uma página de publicidade, basta esperar que os dados não vazem e que o provedor em breve negará o acesso aos links de backdoor. Pelo menos para aqueles que já estão "expostos".

  • Se você nunca viu um anúncio desse tipo, só pode esperar que a desativação da publicidade no navegador ajude. Não tenho dados confiáveis, mas os habrayusers de outro tópico mencionaram que outros anúncios foram exibidos, apesar de desconectados.



Detalhes. O que poderia ter vazado?



A vulnerabilidade foi encontrada pela primeira vez em 26/06/2020. Não tenho dados sobre quanto tempo essa vulnerabilidade estava ativa antes de 26/06/2020. Em 02/02/2020, recebi uma captura de tela de outro assinante, na qual a página foi aberta pelo protocolo https, mas em 05/05/2020 recebi outra captura de tela com uma página de publicidade aberta via http, o que sugere que seus dados ainda podem vazar, mesmo se você nunca viu uma página de anúncio antes. Há muito tempo, sem sucesso, tentei chamar a atenção dos especialistas técnicos do fornecedor para o problema. Na captura de tela no final do artigo, a última mensagem do provedor para mim, recebida em 04/07/2020.



E agora sobre o próprio link backdoor. Na parte inferior da página de publicidade, há um link padrão para cancelar a inscrição nas notificações de publicidade. Isto é o que parece:



https://lk.domru.ru/settings/ppr?token=&city_id=


city_id é um número de dois dígitos, o token é uma sequência alfanumérica de 31 caracteres.



Clicar no link abre o acesso total à sua conta pessoal, suas funções administrativas, como a alteração da tarifa e os dados pessoais do usuário:



  • Nome completo
  • Endereço de residência exato para o apartamento
  • O número completo do cartão bancário, se o cartão foi adicionado à conta, mascarado com apenas dois asteriscos
  • Número de telefone mascarado com 4 asteriscos - fácil vinculação a um banco de dados de telefone existente por cidade, nome
  • Saldo da conta do cliente
  • Suas preferências de televisão para pacotes adicionais Serviços


e outros dados.



imagem



Do bem - o provedor não fornece nenhum serviço, como uma carteira domra, ou qualquer outra maneira de sacar dinheiro da balança. Você só receberá o dinheiro se o atacante ativar o serviço.



No entanto, o fato de os invasores terem outro conjunto de dados sobre você, às vezes dados bastante raros, não é um bom presságio.



  • Engenharia social. O invasor pode se apresentar como você em uma conversa telefônica com um banco ou outra organização. O conjunto de dados para conversar com ele agora está expandido.
  • Fraude telefônica. O discurso dos agentes de pseudo-segurança do banco será ainda mais personalizado. Eles informarão onde você mora e qual é o número do seu cartão bancário, sabendo apenas o seu número de telefone e nome antes.


Não sei se o provedor sabe como extrair páginas http do corpo de solicitações não criptografadas para meias e proxy http e, em vez disso, colocar anúncios.



Além disso, não sei quantos links de backdoor poderiam ter vazado, o que significa quantos deles ainda podem ser usados.



Sobre subjetivo



Minha opinião pessoal é que esse link não deveria existir aqui em princípio. Mesmo transmitido por https. Nessa situação, o link deve levar a uma conta sem logon ou a um pequeno formulário de cancelamento de assinatura, mas em nenhum caso à versão completa da conta pessoal. Mesmo que a transmissão desse link seja garantida, seus usuários domésticos da Internet nem sempre são inteligentes. Uma criança que vê esse anúncio pode surpreender seus pais na forma de conectar uma nova tarifa de alta velocidade. A tarifa é de alta velocidade, de fato foi mostrada na publicidade.



Não vou especular, mas mesmo com uma transferência segura do link, na pior das hipóteses, ele pode estar disponível para muitos funcionários do provedor. Não tenho certeza de que ele não esteja registrado nos logs de acesso dos servidores de aplicativos, assim como as senhas não devem ser registradas. Não tenho certeza de que o token, como um substituto conveniente para o ID do usuário, não seja usado nesses. Apoio, suporte. A tentação de usar esse link "ao lado" pode ser muito grande se estiver disponível e disponível em qualquer lugar, e seu uso não for rastreado de maneira alguma. Se essa atividade for rastreada pelo fornecedor, encontrar o culpado será muito problemática. E, no final, claramente não vale a pena criar tentações e riscos desnecessários, onde isso pode ser evitado.



Quanto a ter sido feito de maneira proposital e não por engano, também não vou especular.



O provedor chama esse link de passagem, mas acredito que não. E o que você acha?



Cereja no bolo, gostaria de postar a resposta mais recente do provedor.



imagem



  1. A página aparece magicamente imediatamente no meu roteador e pensei em nós intermediários no rastreamento.
  2. Não sei qual é a vida útil dos tokens, mas ainda posso fazer login usando o token datado de 26/06/2020 (não o fato de que não foi invadido também). Em 05/05/2020, recebi outro token da minha conta. Ambos são válidos ao mesmo tempo.
  3. E, em geral, o navegador do usuário é o culpado.


A propósito, recebi o segundo token em outro navegador.



Em 07/05/2020, tive a sorte de pegar o próximo pacote na interface do roteador.



O navegador é o culpado
17:04:27.910885 IP (tos 0x28, ttl 126, id 54321, offset 0, flags [none], proto TCP (6), length 415)
    ___ > __: Flags [P.], cksum 0xad30 (correct), seq 1:376, ack 731, win 65534, length 375: HTTP, length: 375
        HTTP/1.1 303 See Other
        Cache-Control: no-cache,no-store,max-age=1
        Pragma: no-cache
        Expires: Thu, 01 Jan 1970 00:00:00 GMT
        Connection: close
        Content-Length: 13
        Location: http://info.ertelecom.ru/?campId=&machine=perm&ourl=__




Em 07/06/2020, recebi um relatório de outra fonte sobre a abertura de uma página de publicidade via http.



UPD 14/07/2020. Os tokens antigos não funcionam, mas a publicidade e, portanto, um link que abre acesso total à sua conta pessoal, ainda são transmitidos via http.

Tela nova
image





Em vez de uma conclusão



Ainda não tenho antipatia pelo provedor, embora, creio, muitos em meu lugar sintam raiva aguda. Entendo que o fator humano às vezes pode ser muito forte. Eu nunca persegui metas para fazer alguém mal - isso não é sobre mim. Meu objetivo é finalmente entrar em contato com o provedor e avisá-lo. E você avisará seus amigos e entes queridos.



Como muitas empresas, o Dom.ru não possui um programa de recompensas por bugs. Peço a todos os leitores que nunca falem sobre o lucro momentâneo "negro". Primeiro de tudo, você age contra pessoas como você, não contra o "sistema".



Eu gostaria de fazer algumas perguntas aos khabrovitas.



All Articles