Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. Хакер сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора. По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль. Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует ввода CAPTCHA. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут. Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить». В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов. Например, ему удалось попасть в систему администрирования домена megafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs, в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов. В «Яндексе» сообщили, что виджеты «МегаФона» уже более полугода не отображаются на главной странице. Как пояснил w0rm, он использовал всё ещё работающий метод авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик. Хакер заявил, что публично обращался к представителям оператора, но там не отреагировали. В свою очередь, представители "Мегафона" заявили, что случаев несанкционированного доступа зафиксировано не было. "Сейчас мы проводим дополнительную проверку по фактам сообщений в соцсетях", - добавили в компании.
Источник