Во многих компания в качестве подарка сотрудникам покупают подарочные сертификаты магазинов. В IT компаниях Санкт-Петербурга часто дарят карты Юлмарт и Ситилинк. Я сам получал в подарок такие карты и участвовал во вручении, но в этот раз все пошло не слишком хорошо.
Получив карту Юлмарта, первым делом я узнал что из-за регулярных мошеннических действий активация теперь происходит только лично в офисе. Судя по беглому поиску в интернете был распространен брутфорс номеров карт или паролей. Однако эта дополнительная мера безопасности только сыграла мошенникам на руку.
Приехав в магазин и выждав очередь у старшего менеджера, я привязал карту к своему аккаунту. Карту при этом забирают и дают подписать фигову бумажку. Никаких документов, подтверждающих обналичивание карты в бонусы, владельцу не выдается. Далее помятуя, что в Юлмарте цены на терминалах в офисе выше, чем на просто цены на сайте (косвенно платишь за пользование их терминалом) я поставил мобильное приложения из AppStore (айфон не рутованный, iOS последний), зашел в публичную WIFI сеть с идентификатором ULMART. Аутентифицировался в приложении и начал искать товары, которые мне интересны. Не нашел ничего нужного в наличии и покинул магазин. Через неделю снова открыл приложение и увидел сообщение «Неправильные логин/пароль». В принципе я уже все понял, но попробовал восстановить доступ к аккаунту. Письма о восстановлении на старый емейл и коды активации на телефон исправно приходили, я менял пароль (приходит ссылка на http кстати) через безопасную домашнюю сеть, но войти в аккаунт под новым паролем не получалось. Я написал в саппорт и через день мне ответили рыбой «мы восстановили вам доступ, сам дурак — придумывай лучше пароль». В истории заказов была покупка на сумму подарочной карты, полученная в том же магазине, через день после моего посещения. Имя было сменено, телефон и емейлы были старыми, пароль последний.
Я пошел на сайт. По умолчанию пускает на http. Ну ладно может аутентификация постается на https? А вот и нет тоже на http. Более того если пойти по https, то на странице аутентификации куча http ресурсов, через которые можно встроить все что угодно. После аутентификации следует редирект с кукой на http версию.
Я не профайлил трафик мобильного приложения, но при таком поведении основного сайта, я практический уверен, что приложения ходит по http или подвержено sslstrip. Более того оно хранит введенный пароль в памяти устройства и посылает все аутентифкационные данные при каждой активации приложения.
Ну а дальше все просто airodump-ng, grep и т.п. Тем более что многие копеечные андроид телефоны на это способны. Любой script kiddie сможет.
Где я облажался? Я не ожидал что у кого-то еще может быть http. К сожалению, когда пользуешься приложениям его безопасность его соединения невозможно проверить. Мобильный сайт в этом плане лучше, но вряд ли я бы так сразу обратил внимание на пропавший «замочек».
Судя по группе вконтакте многие подарочные карты похищают таким или похожим образом (у знакомого на работе похитили и поменяли емейлы, саппорт ульмарта не может найти его старого емейла в своей базе и идентифицировать его как законного владельца).
У компании Юлмарт есть все технические возможности исключить перехват аутентификационных данных, правильно настроив https и сделав жесткую привязку сертификата в мобильном приложение. Однако, очевидно что проблема старая и раз она не решилась до сих пор, то вряд ли будет решена в ближайшее время. (например, там везде камеры — можно легко переловить курьеров забирающих товары при таких операциях, если бы, конечно, служба безопасности делал свою работу, но они предпочитают отвечать отписками). Просто не рискуйте, покупая подарочные карты Юлмарта.
PS Еще одна теоретическая утечка — трафик между QRATOR и Ulmart, при такой ужасной настройки https на самом сайте я очень сомневаюсь, что они поддерживают шифрование между ssl terminator и backend. Да и сотрудники Юлмарта могут сливать, как вариант…
PPS Ну и конечно, я не могу ни привести версии событий, оправдывающий Юлмарт, — злоумышленники давно подобрали мой «слабый» пароль и регулярно пинговали не появилось ли бонусов на аккаунте, как только появились — воспользовались моей небрежностью и обналичили бонусы на себя.
ссылка на оригинал статьи https://geektimes.ru/post/274142/
Добавить комментарий