Пишет Котэ под прикрытием: «Ёбаное Украино-Беларуско-росийское айти воистину ёбаное. И очередное подтверждение тому появилось, когда я через ссылку, свободно доступную в гугле, спокойно зашел в кабинет корпоративного клиента — и не просто зашел, а под именем управляющего всем аккаунтом (и она явно не единственная).
Я не злорадствую, и, как и говорил, в целом с пониманием отношусь к вайтишникам (все имеют право достойно пожить при должных усилиях), но когда вопросы аутентификаций отдают на откуп этим самым вайтишникам, не получившим еще должный опыт, вот тогда начинается печаль.
Еще более идиотской ситуация выглядела, когда я, как в общем-то законопослушный гражданин, сообщил об этом куда следует, а именно в службу поддержки Киевстар.
И что вы думаете?
Срать они хотели на вытекшие сессии своих клиентов в сеть!
Прислали стандартную отписку, что, мол, без полной идентификации обратившегося они даже рассматривать обращение не будут, и адьос, амиго.
Ну, ок, уровень айти услуг данной компании достоин Ёбаного. Время на исправление этого ёбаного стыда я им дал.
Переписка:
Т.е. меняй пароль, добавляй новых пользователей, ̶еби гусей пользуйся корпоративной связью…»
Комментарий ебаной редакции
Вот уж воистину квинтессенция ебаности отечественного айти. Сначала одни держат репозиторий с базой в открытом доступе, потом другие сливают десятки тысяч e-mail адресов в публичный доступ, заявляя в оправдание как ни в чем не бывало «Упс!», затем и Киевстар решает отличиться типично совковым игнором правомерной жалобы на раскрытие личных данных. И это при том, что (согласно инсайдерской инфе) клиенты Киевстара продолжают жаловаться ему на блокировку ресурса Ebanoe.it, и это они тоже игнорят. То есть время закрыть неугодный ресурс у них есть, а закрыть доступ всех желающих к акаунтам своих клиентов — нет. Если такое отношение к корпоративным клиентам, то простых смертных они поди вообще ни во что не ставят — так, смерды, что с них взять. Отличный подход, ничего не скажешь. Прогрессивно, молодежно, по-айтишному.
Прислал Котэ под прикрытием
111 Комментариев
опа
Новая криптовалюта. Намайнил всем защекоинов. Проверяйте в своих кошертах
Сосиски за щекой нет. Только что проверил.
>Намайнил всем защекоинов.
Выехал обналичивать твои токены на минет. Почисти зубы и прополощи рот листерином!
Автор скобку не закрыл, дно.
Быстренько ковертнул их в аналтокены и скинул тебе в backend.
http://nv.ua/ukraine/events/haker-iz-chernovtsov-vzlomal-server-mobilnogo-operatora-i-popolnil-schet-na-million-griven-2003323.html
А как ссылка в открытом доступе появилась история умалчивает?
Видимо, что-то пошло не так и страницы с личным кабинетом не были закрыты noindex, nofollow и попали в индекс гугла. Такое часто бывает, когда SEO ставят ТЗ, а внедряющий правки проггер тупит и делает наоборот.
Ты еблан? Если там есть хотя бы базовая аутентификация или авторизация — то не сможешь ты открыть эту страницу даже если она не помечена твоими nofollow noindex! Хоть бери и ссылку мамке своей перешли — она тоже не сможет открыть, ее redirect’нит на какую нибудь loginpage.
Вообще пост — пиздежь. Автор покажи ссылку или петух
Ссылка my.kyivstar.net
Автор взял папкин или мамкин айпад , где забыли разлогиниться до этого. Вот и весь кейс
Ліл, так я же об этом и говорю.
Зы. Под ссылкой имел ввиду полную ссыль на вход в чужой кабинет
id сессии в параметрах URL. Но не понятно, как этот URL попал пауку google. Похоже, что авторизованный пользователь где-то засветил URL с id сессии.
Ну ты уже так жестко не гони, мамкин хакер. Посмотри для начала скрины, там в URL’e никакого id’щника сессии нет. Так что теория твоя — говно. Но ты молодец, старался.
Зы. Я уже давно не видел, что бы кто то так по рагульному идентификатор сессию хранил (в url)
Тут я вижу два варианта, либо показанная в скринах ссылка не та, по которой первоначально заходили (ссылка, которая позволяет использовать авторизованную сессию должно, на мой взгляд либо содержать аутентификационные данные, либо идентификатор сессии), либо история попахивает пиздежом. И в первом случае еще остается вопрос о том как эта ссылка попала к гугловскому пауку.
Фуфлыжно
Жду мнение разрабки с жырной сракой!
Хихи, моя попа шершавая как ананас
Баян, сучища. Ты уже заебала — изобрети новую фразу.
Вкрай зажрались, пидоры.
Раз пришлось со старого киевстароского номера набрать, бабос на счету был, а мне в ответ: «Слiд завчасно поповнювати свiй рахунок» и только потом пошел вызов. Я ахуел до безсознательности.
Харят, уебаны.
Времена, когда тарифы еще не были помесячной абонплатой? В то время не только Киевстар такой херней страдали, когда на счету оставалось где-то пару гривен или меньше (что хватало дозвониться абоненту).
А где статья про сектантов?
они с валеевым кокс жрут пидорасы, может через недельку отойдут
Киевстар в рот ебись, Водафон — вот что заебись!
Водафон для пидорасов, lifecell для мощных пацов!
Все провайдеры в Украине ебаное гавно, т.к. куплены бандюками.
лайфсел — на бутылку сел!
От МТС у всех энурез!
Ну так напиши скрипт и отключи интернет всем тем у кого кабинет смотрит в интернет. Ты ж программист. Только не с домашнего IP.
Нахуй что то писать если самому впадлу использовать bcrypt-ты passport-ты и прочую поебень. И вообще. Тру пацаны токен в не шефрованой куке хранят, а потом экранируют в div-е.
А нахуя ты им писал? Думал спасибо скажут и пару гривен накинут на счет? Пользовался бы копроративной связью и норм. А то накатал статью, как будто забомбило, что киевстар не оценил такого доброжелателя.
в античный период такой хуйни не было
Поточил гладиус и спать
А как сессия проиндексировалась гуглом-то? Как выглядел url? Не прошу секьюрную инфу, просто интересно как так получилось.
Наверное кэширование настроили через залупу
Откэшировал себе залупой за обе щеки
>себе
Неплохо
Рыба! Комодо как там поживают?
УДОЛИ!!!!
А при чем тут вайтишники?
Мне платят мало, перерабатывать я не буду. Сроки маленькие дали.
Тестировщиков нет. Иди ты на хуй, ОП. Пока дойдешь, за щекой проверь.
УДОЛИИИИИ !!!!!!11
Только хотел написать, ты меня уже опередил, содомит
потому что ты медленный, наверно сцуко еще и обдолбаный
Пруф?
какой тебе пруф? сцылко? а может, сразу трижи безлимит, как кулхацкеру недавнему?
Было бы эпично, если бы автор обратился не анонимно. Получилось бы как с тем пареньком, который ткнул носом на уязвимость в приват24, а его поссадили
Блэт, походу мне пизда.
Підтвержую — Тобі пізда !
Рибак іди нахуй
Его не посадили в конечном счете а он стал сотрудником Привата 🙂
Спасибо автор. Нашел на линкедине начальника по информационной безопасности киевстара. Скинул скрины и описал ситуацию. Поблагодарил и сказал, что если действительно серьезная проблема, то получу вознаграждение — годовой оплаченный безлимит по Украине от Киевстара.
Лучше сыры и смузи бесплатные.
Все уже есть. Сделал сайт визитку на ангуляре для смузишопа, теперь мне бесплатные коктейли наливают. Ну и совратил продавщицу Тамару с сырной лавки. Теперь килограмм сыра раз в неделю бесплатно мне приносит.
Принес тебе килограмм подзалупного сыра за щеку, проверяй
И скоко ж ты обслужыл сырокопателей!
Бля, орнул во весь голос сидя в галерном гаюне
тебе он понадобится звонить с зоны родственникам
Ну так всі ті мобільно-дебільні оператори завжди були рідкісними жлобами-хапугами. Ще не так давно бували випадки, коли юзерам нагло списували гроші з рахунків, а сапортери рвали горло, що абонент все проговорив. Або напарювання дегенеративного мелорінгу чого варте. Хулі ж тут дивуватись, що на безпеці економлять на повну котушку. Піпл і так схаває.
Спасибо за поддержку бро.
>Еби гусей
Блэт, и по чему я раньше до этого не додумался?
>по чему
Вот почему.
Не гусями едиными
Да это просто праздник какой-то: CERT-UA http://www.facebook.com/ruheight/posts/352514621863569
Ха, вы не хакнете так ассоциацию «IT Украины», ведь мы не юзаем Киевстар!
Шах и мат, Амигисты.
блэт смотри чтобы сатанисты не выжрали весь кокс
Вы даунята, никто специально ебаное не блокирует. Просто сайт онально огорожен cloudflare и частенько на первый запрос выдает не 200 а чет другое чтобы защититься от дудосеров. А киевстар использует свои страницы для http ошибок, потому и фейлится
Идешь нахуй нуб — CF отдаёт 200 с JS кодом для идентификации браузера. Ответ с не-20х кодом браузер не интерпретирует.
Закинул тебе сетевой лог за щеку, посмотри первый ответ — 503
Отправил тебе 444 за щеку и сорвал соединение.
Пользуюсь Киевстаром, ебаное работает нормально. Но это, пожалуй, единственный плюс этой всратой сети. Пиздец, таких конченных уебанов, которые работают в Киевстаре, нет больше нигде. Пришел менять симку с мини на микро, говорю мол симка на меня зарегана, вот мой паспорт, я давно ею пользуйтесь, поменяйте. В ответ начинается пиздеж про дополнительные верфикации, последние звонки и когда пополнял счет (причем надо знать точную дату). В итоге я что-то там не угадал и меня послали. Зашел в соседнее отделение — сразу сделали без ебли мозгов.
А помню вызывал их «протягивательщика сетей», чтобы пофиксил поломку, которую вызвали их «спецы» (тупо перенесли оборудование из крыши в подъезд, не переподключив мой кабель, и даже не предупредив об этом). Так вот этот хуй мало того, что опоздал на 2 часа, так и еще на вполне резонное обвинение, мол параша ты бесплатная, ты же еще два часа должен был прийти я получил ответ «Кому я должен — всем прощаю».
Короче — кому лень читать простыню сверху, вот краткая выжимка — я солидарен с ебаным, Киевстар — полное говно.
тут вообще не о том речь, школьник блять
Заменить мини_сим на микро_сим?
Блядь, купи на радиорынке опрессовку для обрезания симки.
Грн 50 всего стоит.
И набор сим-адаптеров, для обратной совместимости.
Или и тут без прислуги не обойтись?
дебил, ты шо, до сих пор в прошлом веке живешь? какая нахуй опрессовка, может еще напильником подпилить?
Дебила ты в зеркале по утрам увидишь, гавнюк!
Или ты думаешь, что Плешь не увидела, что симка разбирается, и поперлась?
Ебать ты тупорылый — разборные симки появились относительно недавно, у туевой хучи народа они еще старые, давно купленные, проприетарные
Ты дебил, купил нужный тебе размер симки на кассе любого супермаркета и специальным ussd кодом (найди в гугле) поменяй номер. И никуда специально идти не нужно)
ловите наркомана!
Уебаны. (Как и 90% козлов с уязвимостями)
Так выделили 3 копейки на всю эту чухню, на 3 копейки и сделано, а на поддержку посадили бывших хрюш, которых из-за статей на ебаном погнали ссаными тряпками со всех галер.
Все нормально. Сделано по принципу «вы делаете вид что платите, я делаю вид что работаю». Поэтому никто это говно чинить не хочет, лишняя головная боль за те-же деньги. Проще забить на это болт. А когда у начальства там пукан подгорит и будет команда сверху срочно починить тогда можно будет забить хуй на дедлайн по текущим проектам и переключится на починку этой хуйни.
Был как-то у них на собеседование собеседовании, сделал тестовое задание, а они даже нихера не ответили. Если бы там работал, то такой хуйни бы не было. Карма существует.
О чем вы блять говорите, у сбербанка года два назад срок действия сертификата истек на сайте, при входе в кабинет для юридических лиц вылазили ворнинги о небепасном входе! Я позвонили в тех поддержку и знаете что они сказали? Добавьте в исключение! А еще был пиздец их криптопровайдер не работал, позвонил и их технари посоветовали мне вырубить антивирус типа он мешает! Сука вырубить антивирус, не добавить их гавно софт в исключения антивируса, а выключить! Всем похуй ибо они не несут ответственность, они могут проебать ваши деньги и нечего вы не сделаете, на репутацию им тоже насрать. В СНГ на репутацию никто не смотрит, все пилят бабло.
> антивирус
Правильно над тобой поглумились, вендоблядки должны страдать.
99% всех бухгалтеров работает под виндами, ибо 1С и прочая поебота, каждый сранный банк считает делом всей своей жизни написать какую нибудь говно приблуду для подключения и авторизации в их кабинете и тоже под виндами!
Так что садись на свой гавноскутер и уебывай отсюда пидарок.
Проблемы бухгалтеров и прочего вендобыдла нормальных людей не ебут. 🙂
Пили еще этих клевых историй.
>>> В СНГ на репутацию никто не смотрит, все пилят бабло. — цитата столетия
Эти пидоры не могут спам такси обуздать, о чем блять речь. Гнусные гнидомрази, сру им в коммутаторы и ротаны!
Попахивает вбросом, т.к. на скрине четко видно «Выход», т.е. чел залогинен
Спалился — вайтишничек!
Вот именно так сейчас и проверяют: если залогинен — то пускать. Авторизация «из коробки». А в свою компанию зашел или в чужую — это же сложно проверить, вайтишник не осилит.
Это просто пиздец, как люди разучились думать! Делают REST API, которому можно послать ЛЮБОЕ ИД и он вернет данные из базы. Свои, чужие — похуй! А у особенно тупых API еще и любые поля сохраняет. Посылаешь путом JSON вида {username:admin, password:hacked} — и все: теперь админ — ты!
https://cs8.pikabu.ru/images/previews_comm/2017-04_5/1493146594172341421.jpg
0. Дворяне
1. Мещане
2. Купечество
3. Деховенство
4. Крестьяне
5. АйТишничество
барыжничество
можно сказать, что это купечество
купцу при царе-батюшке могли секир-башка устроить за любой кидок. Наглые циничные беспардонные барыги —
это особая каста
Я начинал в 90х в подпольной ИТ конторе. Ее хозяином был бывший полковник КГБ из 1-го отдела с каменным лицом и холодными глазами. Через свои контакты он привозил чемодан баксов и лично каждому выдавал зарплату.
При этом на первом же собеседовании он пояснял новичку что тут не только пряниками кормят! Если сболтнешь где-то про то, где работаешь, как тут платят, кто работает с тобой и т.д. или вдруг решишь свалить перед релизом — то учись набирать код ногами. Потому что руки тебя завяжут в такие узлы что даже жопу подтереть не сможешь.
Ну а если серьезно облажаешься и поставишь клиента — то сразу «сделаешь карьеру». Это значит повезут в карьер и зароют. Тогда квартиры стоили 3-5К баксов. Убыток клиента даже на 10К (из-за хуево заимплеменченой секьюрити, например) — это пиздец. Всю семью на органы продать — и то не покроет.
Сейчас, конечно, цены другие — но что будет делать вайтишник, если клиент выкатит конторе предьяву на миллион баксов?! За такие деньги сейчас из-под земли достанут только что бы потом туда-же зарыть!
Так что учтите, выпускники подзалупных курсов, — от секьюрити в ИТ может зависеть ваша жизнь! Помните об этом, когда копируете код логин пейджа из первого попавшегося примера!
Если я шкурой отвечаю на такие вещи, то должен получать % прибыли
работает человек на ЗП — пошли в задницу далеко и далеко с миллионными предьявами
Ты жил у мамы под юбкой в 90е, тебе не понять
Где я жил и кем был — то мое дело.
Но вот ты скажи, ты считаешь нормой, что отвечая шкурой за результат ты не получаешь % ?
Дружище, в 90-е и не такое было. Тогда людей валили на право и на лево за копейку буквально. Да и щас тоже так. Если б ты начал качать свои права, тебя б в лучшем случае выкинули нахуй на мороз, а в худшем сломали б ноги и зарыли за ближайшей лесополосой. Это не как щас, где ты можешь послать нахуй 23-х летнего погонщика и спокойно съебать на другую галеру. Хорош жить в манямирке.
Їх сервіс хоча б кращий ніж Воля… Підари купили Ейрбайт і тепер internet.NET
Тобi пизда!
Всі ви під пильним оком святого Бандери. Буду особисто кожного смузіхльоба інтерв’ювати в пеклі. Пам’ятайте про це!
Эм… Ну есть такой закон. Проще подать в суд. Звонишь в контору эту самую и присылаешь им данные. Они подают в суд. На Киевстар или тебя.
А жаловаться на ебаном что тебе ответил автоответчик — ну такое. Тебе насчитают 100500 млн налогов. Ты напишешь в налоговую письмо — тебе придет такой же ответ. Тже жаловаться будешь ?
В этом и суть обращения официального. Есть не официальные. Пишешь в Тви, ФБ и хуесосишь их. И потом уже на ебаном или хабр, после починки.
Проще подать в суд, ты серьезно? Ты на судебные издержки потратишь больше, тем более в нашей стране где любое судебное решение покупается за пол кабана, судится с крупной компанией — считай, что проебал уже на старте. Ты как не в Украине живешь ей богу. Сразу видно, что никогда не судился.
Подстава! Провокация! Вы ничего не докажете!
Ебаный стыд, ебаное катится в бездну. У этого поста уже 66 лойсов собралось. СУКА, вы серьезно думаете что там сидит какая нибудь хрюша пм или я ебу че еще за хуйня которая просматривает сообщения от КАЖДОГО блять обсоска которому кнопка не понравилась? Там система фильтрации имейлов которую наш герой не прошел и это его «ЛОЛ, что?!» выглядит так как будто он думает что ему ответил настоящий человек а не ЕБАНАЯ ПРОГРАММА ФИЛЬТРАЦИИ или я ебу как оно там правильно называется и до людей до которых должно было дойти оно тупо не дошло. Он дал время им. Спасибо. Кому блять ты дал время? Ебаной машине которая послала тебя нахуй? Ахуеть кулхацкеры собрались.
Не в защиту Киевстара они тоже уебки.
90 нах!
Всі решта сосуть прицмокуючи!
Когда айти еще было ниразу не ебаным, киевстар уже устраивал показушные флеш-мобы, на которые выгонялся почти весь персонал. «корпоративная культура», система внутреннего оценивания и прочая поебень там стояла та таком уровне, что современным галерам и не снилось.
https://censor.net.ua/news/458757/kiberpolitsiya_razoblachila_hakera_vzlomavshego_server_odnogo_iz_mobilnyh_operatorov — это часом не автор статьи
автору ума хватило остаться анонимом, это Хипстер.
изза рукожопых айтишников Киевстара посадят посона низачто