Бессмысленный и беспощадный русский BugBounty и новый смысл выражения "вычислю тебя по IP"

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения "вычислю тебя по IP"История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois-смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее-от того, что за ~11 лет ничего не поменялось.Есть такой московский оператор-"Комкор", сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов-физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области-жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19Вот элитного посёлка "Жуковка":Бессмысленный и беспощадный русский BugBounty и новый смысл выражения "вычислю тебя по IP"Вот клиенты в Барвихе, включая местный Альфа-Банк:Бессмысленный и беспощадный русский BugBounty и новый смысл выражения "вычислю тебя по IP"А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:Бессмысленный и беспощадный русский BugBounty и новый смысл выражения "вычислю тебя по IP""Какая-то невероятная дичь",-воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы-Департамента инфромационных технологий-к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:Давайте поищем по ключевому слову "Bank".
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле-надо им об этом рассказать!
Что я и сделал:Через 1 рабочий день я получил ответ от начальника ИБ-мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):Ещё через 5 дней я решил поинтересоваться результатами проверки информации:на что мне ответили, что всё исправили:Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:и получил очень странный ответ, что "принято решение" убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:Да никто не спорит, что обязаны-но провайдеры записывают туда информацию о назначении сети, или, если это фирма-максимум, её название и юр. адрес (и даже это далеко не всегда, точнее-почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:И тут мои силы закончились-я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико-персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост-мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.А теперь-простым языком для людей, которые не поняли, что всё это значит.Whois-это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае-провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов-информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое-с юридическими лицами. В случае выдачи большого блока, максимум-указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра-катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов-в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо-это же прямая угроза безопасности города.Этот пост прочитает много клиентов Акадо-вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды-как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10-15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку-что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо-сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.
http://stfw.ru
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Явка провалена, или подлинная история Елены Бойко (...... ответ, почему участницу политических ток-шоу депортировали из России)В связи с бурной общественной дискуссией о выдворении из России на Украину популярной общественницы и завсегдатая российских телешоу Елены Бойко мы получили компетентный ответ от специалиста по новейшим российско-украинским отношениям:Высылка из России гражданки Украины Елены Бойко вызвала заметный общественный резонанс: часть патриотической общественности была шокирована, что "пламенного обличителя" киевского режима "отдали на съедение" спецслужбам Украины. Украинские пропагандисты и их приспешники (вроде "покойного" Бабченко) тут же злорадно завыли: "Ага, Россия сдает своих".Спокойно, товарищи. Давайте разберёмся.Главный вопрос: почему Елену Бойко депортировали на Украину, почему именно в Харьков? Ответ: потому что она сама так решила. Ей была предложена возможность выбрать для депортации любой город Украины, в том числе (формально всё еще украинские) Донецк и Луганск - но она сама сделала выбор в пользу Харькова.Впрочем, это понятно - на Донбассе уроженка Львова Елена Бойко никогда не была и патриотом Донбасса не являлась. Судя по ее записям в соцсетях, в нынешней донбасской реальности она видела в основном темную сторону (и аккуратно накапливала соответствующую информацию), судя по всему, считая народные республики сборищем подонков и бандитов.Второе. А что негодующая патриотическая общественность знает про Елену Бойко? Ну, например, известно ли, что её фамилия по документам - отнюдь не Бойко, а Вищур? Причем и это - фамилия её предыдущего мужа.А вот по паспорту Польши (да-да, у неё он на самом деле есть) она - Елена Кунская.А еще у неё есть паспорт Венгрии: выступая в ток-шоу НТВ "Место встречи" 22 марта 2017 года Елена - пусть будет Вищур - проговорилась: "Вот я, например, еду отсюда во Львов и показываю на границе украинский паспорт. Еду в Венгрию - показываю венгерский, еду в Польшу - показываю карту поляка. У меня полная сумка документов".Профессиональной журналисткой Елена Вищур тоже не была: она в основном подрабатывала в театральных массовках. Явка провалена, или подлинная история Елены Бойко (...... ответ, почему участницу политических ток-шоу депортировали из России)По сути, в Москве Елена занималась типичным для заробитчан ремеслом - работала на российском ТВ платным "экспертом по Украине" И политэмигрантом - тоже нет: во-первых, есть данные о том, как её тепло опекали на Майдане львовские земляки - нацисты из "Свободы". Во-вторых, в Москву Елена перебралась только в августе 2015 года - это, напомним, через полгода после Минска-2 и окончания активной фазы боевых действий. Многие активисты Антимайдана к тому времени были уже осуждены и плотно сидели.По сути, в Москве Елена занималась типичным для заробитчан ремеслом - работала на российском ТВ платным "экспертом по Украине". Тоже, можно сказать, играла роль в массовке.Но не только. Главным занятием Елены в России была деятельность в интересах СБУ: сбор информации о деятельности украинской политэмиграции, личных данных активистов, месте и времени проведения организуемых ими акций в России и на Украине, а также о социально-политической обстановке в РФ. Попутно - по мере сил дискредитировала противников нынешней киевской власти, способствовала их разобщению.В московской украинской политэмиграции её называли "самым медийным агентом СБУ". На мероприятиях оппозиции она фотографировала не спикеров, а участников.При этом гражданка Вищур так уповала на собственный имидж "пламенного борца", что за все проведенные в России годы не озаботилась даже самым формальным соблюдением российского законодательства. Возможно, сказалась привычка: в 1984-1987 гг. Елена пребывала в местах не столь отдалённых по общеуголовной статье. Но скорее всего - ее кураторы на Украине решили, что пора возвращаться.Близким, так сказать, "другом", Елены Вищур был небезызвестный Андрей Бородавка - тоже якобы "последовательный антимайдановец". На деле - "оранжист", провокатор в харьковском Антимайдане в 2014 г.; после высылки в 2016 г. из России в Баку сам сел на самолёт в Киев, где на него грозно завели уголовное дело - но оставили на свободе. А затем без лишней огласки, в рамках закрытого заседания общественного совета при Харьковской областной государственной администрации, наградили медалью Украины "За вклад в защиту независимости, суверенитета и территориальной целостности страны". По ходатайству СБУ, между прочим.10 декабря 2018 года в отношении Е.Вищур был составлен протокол о нарушении миграционного законодательства, а суд принял решение о её депортации. 19 декабря 2018 года это решение было утверждено Мосгорсудом.16 января сотрудники украинских спецслужб забрали Елену Бойко-Кунскую-Вищур из нейтральной зоны на российско-украинской границе.Что имеем в итоге: Елена - не Бойко, не журналист, не антимайдановец, а агент СБУ, нарушила российские законы и поехала на историческую Родину. Может, чтобы избежать разоблачения. Может, на пенсию пора - в апреле ей как раз стукнет 60. А, может, просто устала лицемерить.В качестве заключения: Россия своих не сдавала и не сдает. Если они - действительно свои.
http://stfw.ru


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

01:01 Порошенко на вопрос о коррупции ответил: "Слава Украине!"


01:01 МОК не станет подавать апелляции в CAS по поводу оправдания российских спортсменов


01:01 Лукашенко: в Союзном государстве нужна общая валюта, но не российский рубль


01:01 "Ангара" больше не полетит? Сенсация из пустоты


01:01 Шиш с маслом: Лукашенко возмущён попытками СМИ обострить отношения между русскими и белорусами


01:01 Известная официальная рекомендованная цена Xiaomi Redmi Note 7 в Украине


01:01 Xiaomi Mi 9 занял третье место в AnTuTu


14:01 Nikon анонсировала компактную камеру COOLPIX B600 с 60-кратным оптическим увеличением


13:01 Рецензия на фильм «Стекло» / Glass


13:01 Sex Education / «Половое воспитание»


13:01 Сатья Наделла намекнул, что пакет Microsoft 365 вскоре может стать доступным и для обычных пользователей


13:01 В 2018 году магазин приложений Apple App Store принёс на 88% больше дохода, чем Google Play, но его темпы роста ниже


13:01 Разведка Франции: США лгали про российское вторжение на Украину


Вне компьютерной темы.