Додаємо довільний телефон у особистому кабінеті оператора мобільного зв'язку Київстар (Україна)

Я є клієнтом українського оператора стільникового зв'язку Київстар та користувачем їх веб-сервісу my.kyivstar.ua. Як і багато інші оператори Київстар пропонує веб-версію особистого кабінету, в якому можна переглянути баланс рахунку, деталізацію дзвінків, змінити тариф, замовити або відключити послугу тощо
Так само у них нещодавно була запущена нова версія особистого кабінету new.kyivstar.ua. У ній з'явилася цікава функція — додавання іншого телефону Київстар через смс верифікацію. Я взявся її перевірити на наявність вразливостей, так як вона фактично давала такий же доступ до потрібно додати телефону, як і до свого, що мене не особливо радувало, як клієнта.
Новий сайт має наступний інтерфейс додавання телефону:



Додавання проводиться в 4 етапи:
Введення номера телефону


Вибір варіанту через приєднання по смс (буває ще через статичний пароль, але у мене він не відображається)


Введення отриманої смс.


Підтвердження.

Ці 4 кроки перетворюються в серію POST і GET запитів. Останні три запиту з цієї серії відповідають за додавання номера після пройденої ОТП верифікації.
І я вирішив перевірити: що, якщо повторити ці запити без тих, що відповідають за СМС верифікацію.
Розглянемо більш детально ці останні 3 запиту.
Вони мають наступний вигляд в інструменті розробника Google Chrome (Shift+Ctrl+I):


Запити merge.rpc відправляються на адресу account.kyivstar.ua/cas/merge/merge.rpc.
Вміст першого запиту:


Запит містить додається номер телефону(097...)
Вміст другого запиту:


Третій запит на адресу new.kyivstar.ua/ecare/addOrMerge — це GET запит без параметрів, що підтверджує попередні дві операції.

Далі я вирішив відтворити ці 3 запиту, попередньо видаливши доданий тільки-що телефон з особистого кабінету.
Для відтворення я використовував додаток Postman.


Як і передбачалося, після оновлення сторінки, телефон успішно додано в особистий кабінет.


Що ми маємо.
Ми можемо додати будь-який номер телефону в свій особистий кабінет без СМС верифікації і управляти їм як своїм, а саме:
  • переглядати баланс і деталізацію дзвінків
  • переглядати PUK1 код і серійний номер SIM-карти, що дозволяє самостійно замінити сім-карту
  • додавати нові послуги і змінювати тарифний план
  • і найголовніше — переводити гроші з телефону на телефон
Кращого подарунка шахраям і не придумаєш.

Як і годиться, я відразу зв'язався з клієнтською підтримкою Київстар і попросив надати мені контакти служби безпеки або відповідального працівника відділу розробки, що б їм детально описати суть уразливості і спосіб її відтворення. Як і варто було очікувати, мені відмовили в моєму проханні і запропонували надіслати опис уразливості або в чат, або через універсальну форму на сайті.
Розуміючи, які можливі ризики, якщо докладний опис уразливості буде доступно будь-якому співробітникові клієнтської підтримки, я все-таки наполіг на своєму проханні, але знову ж безуспішно. Розуміючи, що іншого виходу немає, я оформив докладну інструкцію по відтворенню уразливості в файлик Google Docs, загорнув його в заслання через сервіс для трекания посилань clickmeter.com і відправив у чат.
Як я і очікував, моя заявка викликала ажіотаж і підвищений інтерес серед співробітників компанії, що відобразилося в аналітиці сервісу clickmeter.com:


Заявку за 2 дні переглянув 22 унікальний користувач.


Зі статистики видно, що посилання дивилися як до комп'ютерів, так і з мобільних пристроїв. Географія переглядів також не обмежилася київським офісом, у списку Київ, Львів, Дніпропетровськ, Тбілісі.
Аналізую статистику, стає ясно, що існуючий канал зв'язку з компанією не призначений для подачі заявок подібного роду і може призвести до витоку інформації та експлуатації її сторонніми особами до закриття уразливості.

Варто віддати належне компанії, відповідальний працівник зі мною зв'язався на другий день, подякував і попросив прибрати посилання загального доступу. Протягом наступних кількох тижнів вразливість була закрита, і зі мною повторно зв'язалися і повідомили про те, що заявка виконана.

Ця історія нагадує нам про те, що треба більш уважно ставитися до питань інформаційної безпеки в компаніях таких масштабів, як Київстар, створювати для цього окремі канали зв'язку, доступ до яких будуть мати тільки уповноважені на це працівники. Ну а також участь компанії в bug-bounty програмах або створення своєї власної так само позитивно впливає на зміцнення безпеки сервісів.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.