Сервис новый — ошибки старые

Фитнес портал Beeline
Недавно компания Beeline в Таджикистане запустила новый сервис — фитнес-портал. Сервис интересный, но уже в то время, когда я писал заметку о его открытии и тестировал его, то понял, что что-то с ним не так. В итоге, масштаб проблем меня поразил. Никак не ожидал, что в 2015 году «новый» сервис такого крупного и авторитетного провайдера мобильной связи будет содержать детские ошибки программистов из нулевых. Поэтому было решено написать отдельную статью, из которой вы узнаете на какие грабли до сих пор наступают мобильные провайдеры в Таджикистане.

В первую очередь, меня привлёк адрес портала — www.fitciti.beeline.tj. Операторы связи часто запускают различные сервисы, но обычно их фактические организаторы это контент-провайдеры, которые размещают их на своих сайтах и серверах. В данном же случае имеем поддомен на официальном сайте Beeline в Таджикистане, хотя фактически север расположен где-то в российском дата-центре. Стало ясно, что скорее всего фитнес-портал также разработка некой сторонней конторы, а т.к. только Beeline-Таджикистан запустил этот портал, то это не централизованное решение Вымпелкома, и сделано или куплено по заказу компании нашей страны. Интересным моментом является почти полное отсутствие каких-либо ссылок на создателей портала. Копирайты в коде скриптов отсутствуют, то ли их сознательно удалили, то ли не привыкли оставлять, а может это было требование Beeline. Из оставшихся сносок нельзя достоверно идентифицировать кто же всё-таки является автором сервиса.

Практически на 100% уверен, что если бы это было централизованное решение для всех стран, то специалисты по информационной безопасности не пропустили бы данное приложение, во всяком случае его запуск был бы отложен до устранения описанных ниже проблем.

Как следовало из описания сервиса, зарегистрироваться на портале можно через смс или непосредственно на самом портале. И если смс-регистрация это вполне безопасный и допустимый способ, то вот любые регистрации через сайт для мобильного сервиса всегда несут существенные риски. И первое чего я не увидел на формах регистрации и восстановления доступа, так это обычной кепчи (картинка с символами для противодействия ботам):

registration
Что это значит и чем грозит? Кто угодно сможет подписывать на указанный сервис не только себя, но и кого угодно. Но разве тот, кому этот сервис не нужен, будет рад этому? Мало того, есть опасность, что после такой регистрации через 3 дня могут начать списываться деньги с телефона человека, который просто не обратил внимания на пришедшую смс и удалил её. А это уже серьёзная угроза имиджу компании, абонентов которой массово подпишут на фитнес-портал, тем более если кто-то из них в результате потеряет свои деньги. Организовать массовую подписку под силу почти любому веб-программисту. Из приятных моментов здесь только то, что смс придёт однократно и при повторной регистрации система выдаёт предупреждение, что нельзя так часто отправлять сообщения. Также в ходе тестов было установлено, что несмотря на формальную регистрацию на портале, деньги не начинают списываться по истечении 3-х дней. И это хорошо. Видимо абонент должен активировать подписку, зайдя на портал и тем самым подтвердив регистрацию. Но это лишь предположение. Которое было подтверждено официальным ответом Beeline (опубликовано в конце статьи).

фитнес портал билайн
После регистрации номера на фитнес-портале появляется возможность безлимитного восстановления пароля. Таким образом можно организовать атаку на телефон жертвы, завалив его ненужными смс-сообщениями. И для этого даже не потребуются какие-то специфические знания, достаточно поставить плагин в браузер, который будет обновлять указанную страницу с заданной периодичностью.

Фитнес портал билайн
Кому это всё нужно вопрос риторический. Просто из хулиганских побуждений, кто-нибудь может «подшутить» над своими друзьями или зафлудить недругов, которым ничего не останется как ждать, когда смски прекратят поступать (если конечно их телефон не умеет блокировать звонки/смс). Ну и не будем забывать о конкурентах.

Как это исправить? Установка элементарной кепчи серьёзно охладит пыл хулиганов, а ограничение регистраций по времени и с одного ip-адреса ещё более защитит сервис, но создаст сложности для самих абонентов Beeline. Ведь они все находятся в интернете под ограниченным количеством внешних ip-адресов. Только отключение регистрации через сайт будет являться гарантией, что кто-то посторонний не зарегистрирует ваш номер телефона на этом сервисе. Это справедливо и для страницы восстановления доступа.

К сожалению, именно такие элементарные ошибки могут серьёзно ударить как по абонентам, так и по имиджу компании. Будем надеяться, что авторы фитнес-портала не допустили ещё каких-нибудь менее очевидных просчётов. Напомню, что совсем недавно была обнаружена уязвимость в другом сервисе российского Beeline — Сказ о том, как Билайн относится к безопасности своих сервисов.

Сотрудники Beeline были оповещены о проблемах в их системе до публикации статьи и оперативно внесли исправления, которые считают нужными. Вот официальный ответ от Beeline:

Действительно, если бы сайт представлял угрозу информационной безопасности наших абонентов или компании, то специалисты из Службы безопасности не допустили бы сервис к эксплуатации, www.fitciti.beeline.tj не несет угрозы для абонентов Beeline.

Что касается массовой подписки абонентов, наши специалисты проанализировали данное направление и не нашли уязвимости в форме подписки. Стоит пояснить, что авторизация и восстановление доступа к сайту происходит с использованием уникального пароля, который приходит в виде SMS-сообщения непосредственно на телефон абонента. По истечении бесплатного периода и началом платного, абонент оповещается при помощи SMS-сообщения об окончании периода бесплатной подписки за 1 день до срока.

Мы не видим предпосылок для использования кептчи, т.к. она не является самым безопасным способом защиты от интернет-ботов, которые прогрессировали и научились вводить символы с картинки. Поэтому Beeline внедрил систему двойного подтверждения при авторизации на платные сервисы и SMS-уведомления с паролем, который защищает абонентов от нежелательной подписки. Без активации, ввода пары Логин/Пароль, подписка невозможна. В случае, если абонент желает отписаться от сервиса он может самостоятельно отключить подписку при помощи сайта или SMS-сообщения отправленного со словом STOP на номер 3050.

Мы благодарим Вас за то, что Вы нашли проблемные зоны продукта, в которые мы внесли изменения. При регистрации и восстановлении пароля мы проверяем номер телефона на наличие существующей подписки, частоту и количество запросов.beeline.tj


Добавить комментарий

Ваш e-mail не будет опубликован.