Kerentanan pertama kali ditemukan pada 26/06/2020, yang penulis segera laporkan kepada dukungan teknis Dom.ru. Penulis lama dan terus-menerus mencoba untuk memecahkan masalah secara non-publik, tetapi bertemu dengan kurangnya pemahaman oleh spesialis teknis. Penyedia memastikan bahwa kasus penulis adalah kasus yang terisolasi, tetapi hari ini konfirmasi masalah berasal dari sumber lain. Penulis tidak mempublikasikan data pribadi siapa pun dan tidak menyerukan tindakan ilegal. Penulisan artikel ini adalah tindakan wajib.
Meskipun, jika penyedia langsung mengatakan bahwa semuanya baik-baik saja, maka deskripsi yang tersedia untuk umum tentang operasi layanannya tidak boleh menanggung risiko apa pun.
Apa gunanya?
Penyedia Internet besar, Dom.ru, mencegat lalu lintas http pengguna dan, dari waktu ke waktu, mengalihkannya ke halaman iklannya alih-alih yang ditargetkan. Di badan halaman iklan, penyedia mengirimkan tautan untuk mengonfigurasi atau berhenti berlangganan pemberitahuan iklan, yang mengarah ke akun pribadi pengguna. Tautan ini memberikan akses penuh ke akun pribadi pengguna tanpa memasukkan nama pengguna dan kata sandi dan memungkinkan Anda melakukan ini dari mana saja di dunia. Halaman iklan ditransmisikan melalui protokol http tidak terenkripsi. Ini berarti bahwa kebocoran dapat terjadi pada simpul apa pun (atau bahkan melalui sisipan ) antara Anda dan server yang bertanggung jawab untuk menerbitkan halaman iklan (info.ertelecom.ru), dan tidak masalah bahwa akun pribadi itu sendiri, setelah mengklik tautan, berfungsi melalui https.
Apakah data saya bocor?
Penyedia itu sendiri tidak akan memberi tahu Anda dengan pasti. Jika Anda baru saja melihat halaman serupa dibuka melalui protokol http, maka Anda rentan terhadap kebocoran.
Bagaimana cara melindungi diri sendiri?
- Buka pengaturan akun pribadi Anda, lalu di bagian bawah halaman pilih "Konfigurasikan pemberitahuan dari Dom.ru" dan, setidaknya, nonaktifkan semua iklan browser.
- Jika Anda baru saja melihat halaman iklan, maka Anda hanya perlu berharap bahwa data belum bocor dan penyedia akan segera menolak akses ke tautan backdoor. Setidaknya bagi yang sudah "terpapar".
- Jika Anda belum pernah melihat iklan seperti itu, maka Anda hanya bisa berharap bahwa menonaktifkan peramban iklan akan membantu. Saya tidak memiliki data yang dapat diandalkan, tetapi pengguna kebiasaan dalam topik lain menyebutkan bahwa iklan lain ditampilkan meskipun terputus.
Detail Apa yang bisa bocor?
Kerentanan pertama kali ditemukan pada 26/06/2020. Saya tidak punya data berapa lama kerentanan ini aktif sebelum 26/06/2020. Pada 07/02/2020 saya menerima tangkapan layar dari pelanggan lain, di mana halaman dibuka menggunakan protokol https, tetapi pada 07/05/2020 saya menerima tangkapan layar lain dengan halaman iklan terbuka melalui http, yang menunjukkan bahwa data Anda mungkin masih bocor, bahkan jika Anda belum pernah melihat halaman iklan sebelumnya. Saya sudah lama dan tidak berhasil mencoba menarik perhatian spesialis teknis penyedia untuk masalah ini. Pada tangkapan layar di akhir artikel, pesan terakhir dari penyedia kepada saya, diterima pada 04/07/2020.
Dan sekarang tentang tautan backdoor itu sendiri. Di bagian bawah halaman iklan ada tautan standar untuk berhenti berlangganan pemberitahuan iklan. Begini tampilannya:
https://lk.domru.ru/settings/ppr?token=&city_id=
city_id adalah angka dua digit, token adalah urutan alfanumerik 31 karakter.
Mengklik tautan membuka akses penuh ke akun pribadi Anda, fungsi administratifnya, seperti mengubah tarif, dan data pribadi pengguna:
- Nama lengkap
- Alamat tempat tinggal akurat untuk apartemen
- Nomor kartu bank penuh, jika kartu itu ditambahkan ke akun, ditutup hanya dengan dua tanda bintang
- Nomor telepon yang ditutup dengan 4 tanda bintang - mudah dihubungkan ke basis data telepon yang ada berdasarkan kota, nama
- Saldo akun klien
- Preferensi televisi Anda untuk paket tambahan jasa
dan data lainnya.
Dari barang - penyedia tidak menyediakan layanan seperti dompet domra, atau cara lain untuk menarik uang dari saldo. Anda hanya akan mendapatkan uang jika penyerang menyalakan layanan.
Namun demikian, fakta bahwa penyerang mungkin memiliki set data lain tentang Anda, kadang-kadang data yang sangat langka, tidak menjadi pertanda baik.
- Rekayasa sosial. Penyerang dapat memperkenalkan dirinya saat Anda melakukan percakapan telepon dengan bank atau organisasi lain. Kumpulan data untuk mengobrol dengannya sekarang diperluas.
- Penipuan telepon. Pidato petugas keamanan semu dari bank akan lebih personal. Mereka akan memberi tahu Anda di mana Anda tinggal dan berapa nomor kartu bank Anda, hanya mengetahui nomor telepon dan nama Anda sebelumnya.
Saya tidak tahu apakah penyedia tahu cara merobek halaman http keluar dari tubuh permintaan tidak terenkripsi untuk kaus kaki dan proksi http dan sebagai gantinya menempatkan iklan.
Juga, saya tidak tahu berapa banyak backdoor link bisa bocor, yang berarti berapa banyak dari mereka masih dapat digunakan.
Tentang subyektif
Pendapat pribadi saya adalah bahwa tautan seperti itu seharusnya tidak ada di sini pada prinsipnya. Bahkan dikirimkan melalui https. Dalam situasi ini, tautan harus mengarah ke akun yang tidak masuk, atau ke bentuk berhenti berlangganan yang kecil, tetapi tidak untuk versi lengkap dari akun pribadi. Sekalipun transmisi tautan semacam itu dijamin aman, pengguna Internet di rumah Anda tidak selalu pintar. Seorang anak yang melihat iklan semacam itu dapat mengejutkan orang tua mereka dalam bentuk menghubungkan tarif baru berkecepatan tinggi. Tarifnya berkecepatan tinggi, sebenarnya ditunjukkan dalam iklan.
Saya tidak akan berspekulasi, tetapi bahkan dengan transfer tautan yang aman, dalam kasus terburuk, itu dapat tersedia untuk sangat banyak karyawan penyedia. Saya tidak yakin itu tidak dicatat dalam log akses server aplikasi, sama seperti kata sandi tidak boleh dicatat. Saya tidak yakin token, sebagai pengganti yang nyaman untuk ID pengguna, tidak digunakan pada mereka. dukung. Godaan untuk menggunakan tautan "di samping" bisa sangat bagus jika tersedia dan tersedia di mana saja, dan penggunaannya tidak dilacak dengan cara apa pun. Penyedia kegiatan seperti itu, jika pernah dilacak, maka menemukan pelakunya akan sangat bermasalah. Dan pada akhirnya, jelas tidak layak menciptakan godaan dan risiko yang tidak perlu di mana hal ini dapat dihindari.
Mengenai apakah itu dilakukan dengan sengaja, dan bukan karena kesalahan, saya juga tidak akan berspekulasi.
Penyedia menyebut pass-through tautan ini, tapi saya yakin tidak. Dan apa yang kamu pikirkan?
Cherry on the cake, saya ingin memposting tanggapan terbaru dari penyedia.
- Halaman itu secara ajaib muncul segera di router saya, dan saya memikirkan node perantara dalam jejak.
- Saya tidak tahu masa pakai token itu, tapi saya masih bisa masuk menggunakan token tanggal 06/26/2020 (bukan fakta bahwa token itu tidak dibajak juga). Pada 07/05/2020, saya menerima token lain dari akun saya. Keduanya valid pada saat bersamaan.
- Dan secara umum, browser pengguna yang harus disalahkan.
Omong-omong, saya mendapat token kedua di browser lain.
Pada 07/05/2020, saya bahkan beruntung dapat menangkap paket berikutnya pada antarmuka router.
Browser yang harus disalahkan
17:04:27.910885 IP (tos 0x28, ttl 126, id 54321, offset 0, flags [none], proto TCP (6), length 415)
___ > __: Flags [P.], cksum 0xad30 (correct), seq 1:376, ack 731, win 65534, length 375: HTTP, length: 375
HTTP/1.1 303 See Other
Cache-Control: no-cache,no-store,max-age=1
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Connection: close
Content-Length: 13
Location: http://info.ertelecom.ru/?campId=&machine=perm&ourl=__
Pada 07/06/2020 saya menerima laporan dari sumber lain tentang membuka halaman iklan melalui http.
UPD 07/14/2020. Token lama tidak berfungsi, tetapi beriklan, dan karenanya tautan yang membuka akses penuh ke akun pribadi Anda, masih ditransmisikan melalui http.
Tangkapan layar baru
Alih-alih sebuah kesimpulan
Saya masih tidak memiliki ketidaksukaan terhadap penyedia, meskipun, saya pikir, banyak di tempat saya akan merasakan kemarahan akut. Saya mengerti bahwa faktor manusia terkadang sangat kuat. Saya tidak pernah mengejar tujuan untuk membuat seseorang menjadi buruk - ini bukan tentang saya. Tujuan saya adalah untuk akhirnya menghubungi penyedia dan memperingatkan Anda. Dan Anda akan memperingatkan teman dan orang yang Anda cintai.
Seperti banyak perusahaan, Dom.ru tidak memiliki program karunia bug. Saya mengimbau semua pembaca untuk tidak melanjutkan tentang keuntungan "hitam" sesaat. Pertama-tama, Anda bertindak melawan orang-orang seperti Anda, bukan "sistem".
Saya ingin mengajukan beberapa pertanyaan kepada orang Khabrovit.