Приветстую постоянных и не очень читателей блога моего хорошего товарища Владимира. Меня зовут Евгений, и сегодня я расскажу вам об ужасающей халатности одного из провайдеров Украины и, в частности, Севастополя. Но сначала немного истории.

Предисловие
Некоторое время назад я решил завязать с провайдером интернета и домовой локальной сети, о котором знает, вероятно, весь город-герой Севастополь — СевСтаром. После очередной ругани с офисом по поводу энного падения сети в районе соседнего дома, которые продолжались в течение трех лет моего пребывания в этой сети, я наконец решился избавиться от недостатков витой пары, проложенной по чердакам и крышам. К тому времени деньги на счету подошли к концу, и я с чистой совестью выдернул шнурок из порта, но призадумался. Кого же выбрать теперь? А выбрать-то оказалось почти и не из чего: поскольку я решительно отмел варианты других локальных сетей, выбор сократился всего до двух провайдеров, коими есть Укртелеком и Оптима-Телеком. С УТ я уже был знаком по предыдущей работе, и дома я с ним дел иметь не хотел. ОТ же предлагал на тот момент довольно демократичные тарифы, как безлимитные, так и предоплаченные, к тому же, я давно хотел статический ip, который выдается всем пользователям Оптимы без всяких доплат и заявлений. Через пару дней после составления договора в офисе мне установили ADSL-модем, который уже был настроен и моментально заработал на линии с выбранным безлимитным тарифом в 128 кбит/сек. Надо заметить, установили бесплатно, и за модем я тоже не заплатил ни копейки — согласно договору он дается в бесплатную аренду пользователю. Работало все очень стабильно, поэтому о событии я благополучно забыл. Но через несколько недель я снова вспомнил про чудо-коробочку в столе, и принялся усердно подбирать пароль к веб-админке модема, на которую, как оказалось, ни логина, ни пароля у меня нет. Найденный дефолтовый в гугле не подошел и я полез читать договор в надежде их найти, однако их там не было. Но нашел я нечто более интересное…

Дело было вечером, делать было нечего.
«Что же может быть интересного в логине и пароле провадера?» - спросите вы. А ведь приватная информация такого рода может сказать о многом. Но тут все оказалось несколько сложнее, или наоборот, проще. Так вот, эта самая приватная информация выдала провайдера с потрохами.
Все мы знаем не по наслышке, что если не логин, то надежный пароль уж точно должен состоять из случайных цифр и букв, и чем длиннее — тем лучше для вас, и это — прописная истина для каждого провайдера. Но стал бы я писать столько текста, если бы все было именно так у моего провайдера? Определенно нет.

Б#$%@, да как же так? Как это может быть?
Вот теперь перейдем прямо к сути вопроса, который я снабдил внушительным прологом.
Итак, документ почерком менеджера сообщил мне, что мой аккаунт зовется asso1720, а пароль — 123asso1720. В голове загорелась лампочка: что за бред? Разве так может быть? Еще как. Перевернув страницу, я обнаружил еще и аккаунт для веб-статистики ОТ. Задержали дыхание? Логин ASSo1720, пароль 1720! Да, я не дипломированный специалист по безопасности, не сисадмин со стажем, ни программист с горой сетификатов. Но вот так н@#$#ть свого клиента?! Мигом я перелистнул договор на первую страницу и увидел номер договора — №1720. Снабженная свежим глотком чая, очередная мысль подсказывает мне: а ведь номер договора то не случайный, ведь это банальный номер ячейки в базе биллинга. О, какие интересные мысли стали приходить в голову. Я тут же пошел к товарищу, у которого модем был в режиме бриджа (в свой я так и не достучался) и попробовал первый пришедший в голову логин и пароль, применя их к статистике. И они подошли! Личные данные пользователя, включая адрес и телефоны, архив счетов, сведения о тарифе и истории их смены! Попробовав еще с пяток, я убедился в одной из теорий. Теперь пришло время проверить вторую: а как же интернет? А все оказалось такой же халтурой — заменив в логине и пароле цифры на другие, которые подвернулись в статистике, я подключился с другими данными. Как оказалось, с другим логином мы получили мегабитный тариф, проплаченный доверчивым клиентом на три месяца вперед.

Что теперь?
Придя домой, бурча под нос ругательства, я набрал номер техподдержки Оптимы. Ответившая девушка в ответ на краткий рассказ о такой халтуре очень удивилась и тут же переключила на какую-то «шишку», где трубку не подняли. Перезвонив минут через десять, я попросил переключить меня на ту же девушку, которая обещала передать информацию начальству. Не вешая трубки, я спросил ее о возможности смены паролей, на что ответила она мне отказом ввиду технической невозможности. После намека на «дайте кого-то из техников» мне действительно дали с ним поговорить, и от тоже авторитетно заявил, что это невозможно (я, разумеется, не стал ему рассказывать о халтуре, для чистоты эксперимента). Что теперь? Я начал подробно изучать страницу статистики. На довольно видном месте я обнаружил функцию смены пароля (о чудо!), но она меняла пароль только для статистики. Хоть что-то. Покопавшись еще немного, я нашел интересную галочку, сообщающую мне о наличии функции, делающей возможным вход по логину только с конкретного телефона. Иными словами, реализация фильтра по мак-адресу. Разумеется, я ее тут же включил, но задумался. С новой догадкой я прошелся по все тем же аккаунтам и подтвердил догадку — везде функция фильтрации отключена! Зачем тогда, спрашивается, она нужна, если выключена?

На следующий день меня разбудил звонок товарища. Поговорив о том, о сем, я вспомнил, что он лично знает, кажется, регионального директора ОТ, на тот момент — Ивана Рыбовалова. На мой запрос он ответил, что как раз в офисе Оптимы, и более того, прямо рядом с Иваном и уже протягивает ему трубу. Рассказав ему о проблеме, он поблагодарил меня и побежал, значит, устраивать аврал менеджерам, предварительно откланявшись. На том я и успокоился.

Эпилог
Через пару-тройку месяцев я снова вспомнил про халтурку. Каково же было мое удивление, когда я, пробежавшись по уже знакомым аккаунтам и вбив несколько других, узнал, что старые никто не трогал, а новых уже расплодилось сотни три, и все они — точно такие же, а значит, никто и не почесался решить проблему.

Подводя итоги халтуре, я в качестве официального багрепорта размещаю эту статью на блоге Владимира, а также на нескольких форумах даю рекомендации пользователям, в открытом доступе абсолютно всем.

Итак, уважаемые пользователи ОТ! Если для вас это все еще оставалось тайной, то срочно меняйте пароль на статистику и включайте фильтрацию по маку. Если нет, то, надеюсь, вы уже сменили провайдера. Остальным желаю не попадаться на удочку маркетологов и тщательно проверять важные личные данные.

За сим откланиваюсь, удачи всем читателям.

Добавить в закладки
  • del.ici.ous
  • Digg
  • Furl
  • Google
  • Simpy
  • Spurl
  • Y! MyWeb
  • БобрДобр
  • Мистер Вонг
  • Yandex.Закладки
  • Текст 2.0
  • News2
  • AddScoop
  • RuSpace
  • RUmarkz
  • Memori
  • Google Bookmarks
  • Писали
  • СМИ 2
  • Моё Место
  • 100 Закладок
  • Ваау!
  • Technorati
  • RuCity
  • LinkStore
  • NewsLand
  • Lopas
  • Закладки - IN.UA
  • Connotea
  • Bibsonomy
  • Trucking Bookmarks
  • Communizm
  • UCA
  • Slashdot
  • Magnolia
  • Blogmarks
  • Current
  • Meneame
  • Oknotizie
  • Diigo
  • Funp
  • Hugg
  • Dealspl.us
  • N4G
  • Mister Wong
  • Faves
  • Yigg
  • Fresqui
  • Care2
  • Kirtsy
  • Sphinn

Связанные записи

22
Фев
2008

Комментарии к статье «Интернет-провайдер: как не надо делать» (1)  »

Подписаться на RSS-ленту комментариев к статье «Интернет-провайдер: как не надо делать» Trackback URL: http://blog.sjinks.org.ua/security/2-isp-the-way-it-should-not-be/trackback/

Оставить комментарий к записи «Интернет-провайдер: как не надо делать»

Вы можете использовать данные тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя