«Киевстар» сливает в сеть сессии корпоративных клиентов и даже не заморачивается по этому поводу

Киевстар слил личную инфу корпоративных клиентов в интернет и даже и не подумал исправить ошибку.

Пишет Котэ под прикрытием: «Ёбаное Украино-Беларуско-росийское айти воистину ёбаное. И очередное подтверждение тому появилось, когда я через ссылку, свободно доступную в гугле, спокойно зашел в кабинет корпоративного клиента — и не просто зашел, а под именем управляющего всем аккаунтом (и она явно не единственная).

Я не злорадствую, и, как и говорил, в целом с пониманием отношусь к вайтишникам (все имеют право достойно пожить при должных усилиях), но когда вопросы аутентификаций отдают на откуп этим самым вайтишникам, не получившим еще должный опыт, вот тогда начинается печаль.

Еще более идиотской ситуация выглядела, когда я, как в общем-то законопослушный гражданин, сообщил об этом куда следует, а именно в службу поддержки Киевстар.

И что вы думаете?
Срать они хотели на вытекшие сессии своих клиентов в сеть!
Прислали стандартную отписку, что, мол, без полной идентификации обратившегося они даже рассматривать обращение не будут, и адьос, амиго.

Ну, ок, уровень айти услуг данной компании достоин Ёбаного. Время на исправление этого ёбаного стыда я им дал.

Переписка:

Киевстар облажался, слив сессии клиентов в интернет.

Kyisvstar слил в публичный доступ инфу корпоративных клиентов.

Т.е. меняй пароль, добавляй новых пользователей, ̶еби гусей пользуйся корпоративной связью…»

Комментарий ебаной редакции

Вот уж воистину квинтессенция ебаности отечественного айти. Сначала одни держат репозиторий с базой в открытом доступе, потом другие сливают десятки тысяч e-mail адресов в публичный доступ, заявляя в оправдание как ни в чем не бывало «Упс!», затем и Киевстар решает отличиться типично совковым игнором правомерной жалобы на раскрытие личных данных. И это при том, что (согласно инсайдерской инфе) клиенты Киевстара продолжают жаловаться ему на блокировку ресурса Ebanoe.it, и это они тоже игнорят. То есть время закрыть неугодный ресурс у них есть, а закрыть доступ всех желающих к акаунтам своих клиентов — нет. Если такое отношение к корпоративным клиентам, то простых смертных они поди вообще ни во что не ставят — так, смерды, что с них взять. Отличный подход, ничего не скажешь. Прогрессивно, молодежно, по-айтишному.

Прислал Котэ под прикрытием

111 Комментариев

  1. хер с горы:

    опа

    1

    0
  2. Энерджайзер:

    А как ссылка в открытом доступе появилась история умалчивает?

    10

    0
    • Imaginaries:

      Видимо, что-то пошло не так и страницы с личным кабинетом не были закрыты noindex, nofollow и попали в индекс гугла. Такое часто бывает, когда SEO ставят ТЗ, а внедряющий правки проггер тупит и делает наоборот.

      6

      2
      • Джон Клюкер:

        Ты еблан? Если там есть хотя бы базовая аутентификация или авторизация — то не сможешь ты открыть эту страницу даже если она не помечена твоими nofollow noindex! Хоть бери и ссылку мамке своей перешли — она тоже не сможет открыть, ее redirect’нит на какую нибудь loginpage.

        Вообще пост — пиздежь. Автор покажи ссылку или петух

        9

        3
        • Котэ под прикрытием:

          Ссылка my.kyivstar.net
          Автор взял папкин или мамкин айпад , где забыли разлогиниться до этого. Вот и весь кейс

          8

          0
          • Джон Клюкер:

            Ліл, так я же об этом и говорю.

            Зы. Под ссылкой имел ввиду полную ссыль на вход в чужой кабинет

            4

            0
            • маловероятно:

              id сессии в параметрах URL. Но не понятно, как этот URL попал пауку google. Похоже, что авторизованный пользователь где-то засветил URL с id сессии.

              2

              2
              • Джон Клюкер:

                Ну ты уже так жестко не гони, мамкин хакер. Посмотри для начала скрины, там в URL’e никакого id’щника сессии нет. Так что теория твоя — говно. Но ты молодец, старался.

                Зы. Я уже давно не видел, что бы кто то так по рагульному идентификатор сессию хранил (в url)

                5

                0
                • Маловероятрно:

                  Тут я вижу два варианта, либо показанная в скринах ссылка не та, по которой первоначально заходили (ссылка, которая позволяет использовать авторизованную сессию должно, на мой взгляд либо содержать аутентификационные данные, либо идентификатор сессии), либо история попахивает пиздежом. И в первом случае еще остается вопрос о том как эта ссылка попала к гугловскому пауку.

                  0

                  0
  3. Сергей:

    Фуфлыжно

    2

    1
  4. Любитель ананасов:

    Жду мнение разрабки с жырной сракой!

    17

    0
    • Разрабка с жырной сракой:

      Хихи, моя попа шершавая как ананас

      32

      1
      • Тут_все_насрем:

        Баян, сучища. Ты уже заебала — изобрети новую фразу.

        2

        0
  5. codeine.it:

    Вкрай зажрались, пидоры.

    Раз пришлось со старого киевстароского номера набрать, бабос на счету был, а мне в ответ: «Слiд завчасно поповнювати свiй рахунок» и только потом пошел вызов. Я ахуел до безсознательности.
    Харят, уебаны.

    27

    0
    • Наблюдатель:

      Времена, когда тарифы еще не были помесячной абонплатой? В то время не только Киевстар такой херней страдали, когда на счету оставалось где-то пару гривен или меньше (что хватало дозвониться абоненту).

      1

      0
  6. лошпед:

    А где статья про сектантов?

    28

    2
    • Витя с химмаша:

      они с валеевым кокс жрут пидорасы, может через недельку отойдут

      0

      0
  7. Vodafone UA:

    Киевстар в рот ебись, Водафон — вот что заебись!

    39

    7
    • 301й спартанец на галере:

      Водафон для пидорасов, lifecell для мощных пацов!

      30

      8
      • Xikki:

        Все провайдеры в Украине ебаное гавно, т.к. куплены бандюками.

        56

        2
      • мразота с интеллектом хлеба:

        лайфсел — на бутылку сел!

        52

        1
  8. zalupa:

    Ну так напиши скрипт и отключи интернет всем тем у кого кабинет смотрит в интернет. Ты ж программист. Только не с домашнего IP.

    23

    0
    • $php:

      Нахуй что то писать если самому впадлу использовать bcrypt-ты passport-ты и прочую поебень. И вообще. Тру пацаны токен в не шефрованой куке хранят, а потом экранируют в div-е.

      5

      0
  9. Хипстер:

    А нахуя ты им писал? Думал спасибо скажут и пару гривен накинут на счет? Пользовался бы копроративной связью и норм. А то накатал статью, как будто забомбило, что киевстар не оценил такого доброжелателя.

    27

    5
  10. Апроксиматор:

    в античный период такой хуйни не было

    63

    0
    • Капитан Галера:

      Поточил гладиус и спать

      29

      0
  11. Петушок:

    А как сессия проиндексировалась гуглом-то? Как выглядел url? Не прошу секьюрную инфу, просто интересно как так получилось.

    9

    0
    • Петушок:

      Наверное кэширование настроили через залупу

      12

      1
  12. Гудвин:

    Рыба! Комодо как там поживают?

    12

    0
  13. Галера Мечты:

    УДОЛИ!!!!

    20

    0
  14. Тот самый джунхаузен:

    А при чем тут вайтишники?
    Мне платят мало, перерабатывать я не буду. Сроки маленькие дали.
    Тестировщиков нет. Иди ты на хуй, ОП. Пока дойдешь, за щекой проверь.

    25

    3
  15. Петр Чернышов, Президент "Киевстар":

    УДОЛИИИИИ !!!!!!11

    31

    0
    • Ассоциация ИТ Украины:

      Только хотел написать, ты меня уже опередил, содомит

      17

      0
      • Петр Чернышов, Президент "Киевстар":

        потому что ты медленный, наверно сцуко еще и обдолбаный

        19

        0
  16. Драбодан:

    Пруф?

    0

    0
    • а я карась:

      какой тебе пруф? сцылко? а может, сразу трижи безлимит, как кулхацкеру недавнему?

      0

      0
  17. Неподконтрольный:

    Было бы эпично, если бы автор обратился не анонимно. Получилось бы как с тем пареньком, который ткнул носом на уязвимость в приват24, а его поссадили

    39

    0
    • Хипстер:

      Блэт, походу мне пизда.

      25

      0
      • Кибер-лейтенант в подчинении у Кныша:

        Підтвержую — Тобі пізда !

        33

        0
    • Вася:

      Его не посадили в конечном счете а он стал сотрудником Привата 🙂

      0

      0
  18. Хипстер:

    Спасибо автор. Нашел на линкедине начальника по информационной безопасности киевстара. Скинул скрины и описал ситуацию. Поблагодарил и сказал, что если действительно серьезная проблема, то получу вознаграждение — годовой оплаченный безлимит по Украине от Киевстара.

    31

    2
    • Лорд Джордж Байрон:

      Лучше сыры и смузи бесплатные.

      12

      0
      • Хипстер:

        Все уже есть. Сделал сайт визитку на ангуляре для смузишопа, теперь мне бесплатные коктейли наливают. Ну и совратил продавщицу Тамару с сырной лавки. Теперь килограмм сыра раз в неделю бесплатно мне приносит.

        17

        2
        • Гироспиннер:

          Принес тебе килограмм подзалупного сыра за щеку, проверяй

          16

          0
          • Острый нож:

            И скоко ж ты обслужыл сырокопателей!

            3

            0
          • Андро:

            Бля, орнул во весь голос сидя в галерном гаюне

            3

            0
    • Неподконтрольный:

      тебе он понадобится звонить с зоны родственникам

      4

      0
  19. Хлєбатєль бояркі:

    Ну так всі ті мобільно-дебільні оператори завжди були рідкісними жлобами-хапугами. Ще не так давно бували випадки, коли юзерам нагло списували гроші з рахунків, а сапортери рвали горло, що абонент все проговорив. Або напарювання дегенеративного мелорінгу чого варте. Хулі ж тут дивуватись, що на безпеці економлять на повну котушку. Піпл і так схаває.

    2

    2
    • Богдан Титомир:

      Спасибо за поддержку бро.

      3

      0
  20. Люлька:

    >Еби гусей
    Блэт, и по чему я раньше до этого не додумался?

    11

    1
    • Плешь на левой, более волосатой ноге злого брата-близнеца Пивоварова:

      >по чему
      Вот почему.

      13

      -2
    • Панин:

      Не гусями едиными

      10

      0
  21. Парвиз:

    Да это просто праздник какой-то: CERT-UA http://www.facebook.com/ruheight/posts/352514621863569

    14

    0
  22. Виктор Валеев:

    Ха, вы не хакнете так ассоциацию «IT Украины», ведь мы не юзаем Киевстар!

    Шах и мат, Амигисты.

    0

    5
    • Витя с химмаша:

      блэт смотри чтобы сатанисты не выжрали весь кокс

      3

      0
  23. Сисадмин-QA:

    Вы даунята, никто специально ебаное не блокирует. Просто сайт онально огорожен cloudflare и частенько на первый запрос выдает не 200 а чет другое чтобы защититься от дудосеров. А киевстар использует свои страницы для http ошибок, потому и фейлится

    4

    10
    • IЕбарь сисадминов QA:

      Идешь нахуй нуб — CF отдаёт 200 с JS кодом для идентификации браузера. Ответ с не-20х кодом браузер не интерпретирует.

      10

      4
      • Сисадмин-QA в ярости:

        Закинул тебе сетевой лог за щеку, посмотри первый ответ — 503

        4

        1
        • Богдан Титомир:

          Отправил тебе 444 за щеку и сорвал соединение.

          3

          0
  24. Плешь на левой, более волосатой ноге злого брата-близнеца Пивоварова:

    Пользуюсь Киевстаром, ебаное работает нормально. Но это, пожалуй, единственный плюс этой всратой сети. Пиздец, таких конченных уебанов, которые работают в Киевстаре, нет больше нигде. Пришел менять симку с мини на микро, говорю мол симка на меня зарегана, вот мой паспорт, я давно ею пользуйтесь, поменяйте. В ответ начинается пиздеж про дополнительные верфикации, последние звонки и когда пополнял счет (причем надо знать точную дату). В итоге я что-то там не угадал и меня послали. Зашел в соседнее отделение — сразу сделали без ебли мозгов.
    А помню вызывал их «протягивательщика сетей», чтобы пофиксил поломку, которую вызвали их «спецы» (тупо перенесли оборудование из крыши в подъезд, не переподключив мой кабель, и даже не предупредив об этом). Так вот этот хуй мало того, что опоздал на 2 часа, так и еще на вполне резонное обвинение, мол параша ты бесплатная, ты же еще два часа должен был прийти я получил ответ «Кому я должен — всем прощаю».

    Короче — кому лень читать простыню сверху, вот краткая выжимка — я солидарен с ебаным, Киевстар — полное говно.

    28

    0
    • мразота с интеллектом хлеба:

      тут вообще не о том речь, школьник блять

      0

      7
    • Пацык:

      Заменить мини_сим на микро_сим?
      Блядь, купи на радиорынке опрессовку для обрезания симки.
      Грн 50 всего стоит.
      И набор сим-адаптеров, для обратной совместимости.
      Или и тут без прислуги не обойтись?

      1

      12
      • СмузиЕб:

        дебил, ты шо, до сих пор в прошлом веке живешь? какая нахуй опрессовка, может еще напильником подпилить?

        16

        0
        • Пацык:

          Дебила ты в зеркале по утрам увидишь, гавнюк!
          Или ты думаешь, что Плешь не увидела, что симка разбирается, и поперлась?
          Ебать ты тупорылый — разборные симки появились относительно недавно, у туевой хучи народа они еще старые, давно купленные, проприетарные

          1

          2
    • Тимлид в очко залип:

      Ты дебил, купил нужный тебе размер симки на кассе любого супермаркета и специальным ussd кодом (найди в гугле) поменяй номер. И никуда специально идти не нужно)

      1

      4
  25. 💵💵💵🐒💵💵💵:

    Уебаны. (Как и 90% козлов с уязвимостями)

    3

    0
  26. Вонаби вайтишник:

    Так выделили 3 копейки на всю эту чухню, на 3 копейки и сделано, а на поддержку посадили бывших хрюш, которых из-за статей на ебаном погнали ссаными тряпками со всех галер.

    11

    0
  27. Евгений:

    Все нормально. Сделано по принципу «вы делаете вид что платите, я делаю вид что работаю». Поэтому никто это говно чинить не хочет, лишняя головная боль за те-же деньги. Проще забить на это болт. А когда у начальства там пукан подгорит и будет команда сверху срочно починить тогда можно будет забить хуй на дедлайн по текущим проектам и переключится на починку этой хуйни.

    18

    0
  28. Дед-пердед:

    Был как-то у них на собеседование собеседовании, сделал тестовое задание, а они даже нихера не ответили. Если бы там работал, то такой хуйни бы не было. Карма существует.

    7

    0
  29. Бородатый админ:

    О чем вы блять говорите, у сбербанка года два назад срок действия сертификата истек на сайте, при входе в кабинет для юридических лиц вылазили ворнинги о небепасном входе! Я позвонили в тех поддержку и знаете что они сказали? Добавьте в исключение! А еще был пиздец их криптопровайдер не работал, позвонил и их технари посоветовали мне вырубить антивирус типа он мешает! Сука вырубить антивирус, не добавить их гавно софт в исключения антивируса, а выключить! Всем похуй ибо они не несут ответственность, они могут проебать ваши деньги и нечего вы не сделаете, на репутацию им тоже насрать. В СНГ на репутацию никто не смотрит, все пилят бабло.

    15

    2
    • Гироспиннер:

      > антивирус

      Правильно над тобой поглумились, вендоблядки должны страдать.

      3

      10
      • Бородатый админ:

        99% всех бухгалтеров работает под виндами, ибо 1С и прочая поебота, каждый сранный банк считает делом всей своей жизни написать какую нибудь говно приблуду для подключения и авторизации в их кабинете и тоже под виндами!

        Так что садись на свой гавноскутер и уебывай отсюда пидарок.

        15

        1
        • Гироспиннер:

          Проблемы бухгалтеров и прочего вендобыдла нормальных людей не ебут. 🙂

          2

          10
    • Тупой педалер, который завидует вайтигру:

      Пили еще этих клевых историй.

      4

      0
    • Тимлид в очко залип:

      >>> В СНГ на репутацию никто не смотрит, все пилят бабло. — цитата столетия

      3

      0
  30. Менеджер Люкспама:

    Эти пидоры не могут спам такси обуздать, о чем блять речь. Гнусные гнидомрази, сру им в коммутаторы и ротаны!

    4

    0
  31. Андрей:

    Попахивает вбросом, т.к. на скрине четко видно «Выход», т.е. чел залогинен

    1

    6
    • разРАБ:

      Спалился — вайтишничек!
      Вот именно так сейчас и проверяют: если залогинен — то пускать. Авторизация «из коробки». А в свою компанию зашел или в чужую — это же сложно проверить, вайтишник не осилит.
      Это просто пиздец, как люди разучились думать! Делают REST API, которому можно послать ЛЮБОЕ ИД и он вернет данные из базы. Свои, чужие — похуй! А у особенно тупых API еще и любые поля сохраняет. Посылаешь путом JSON вида {username:admin, password:hacked} — и все: теперь админ — ты!

      11

      0
  32. Sergii:

    0. Дворяне
    1. Мещане
    2. Купечество
    3. Деховенство
    4. Крестьяне
    5. АйТишничество

    7

    0
    • Проебали 0:2:

      барыжничество

      2

      0
      • Sergii:

        можно сказать, что это купечество

        2

        0
        • Проебали 0:2:

          купцу при царе-батюшке могли секир-башка устроить за любой кидок. Наглые циничные беспардонные барыги —
          это особая каста

          1

          0
  33. разРАБ:

    Я начинал в 90х в подпольной ИТ конторе. Ее хозяином был бывший полковник КГБ из 1-го отдела с каменным лицом и холодными глазами. Через свои контакты он привозил чемодан баксов и лично каждому выдавал зарплату.
    При этом на первом же собеседовании он пояснял новичку что тут не только пряниками кормят! Если сболтнешь где-то про то, где работаешь, как тут платят, кто работает с тобой и т.д. или вдруг решишь свалить перед релизом — то учись набирать код ногами. Потому что руки тебя завяжут в такие узлы что даже жопу подтереть не сможешь.
    Ну а если серьезно облажаешься и поставишь клиента — то сразу «сделаешь карьеру». Это значит повезут в карьер и зароют. Тогда квартиры стоили 3-5К баксов. Убыток клиента даже на 10К (из-за хуево заимплеменченой секьюрити, например) — это пиздец. Всю семью на органы продать — и то не покроет.
    Сейчас, конечно, цены другие — но что будет делать вайтишник, если клиент выкатит конторе предьяву на миллион баксов?! За такие деньги сейчас из-под земли достанут только что бы потом туда-же зарыть!
    Так что учтите, выпускники подзалупных курсов, — от секьюрити в ИТ может зависеть ваша жизнь! Помните об этом, когда копируете код логин пейджа из первого попавшегося примера!

    14

    4
    • Дмитрий:

      Если я шкурой отвечаю на такие вещи, то должен получать % прибыли
      работает человек на ЗП — пошли в задницу далеко и далеко с миллионными предьявами

      7

      2
      • SosniTunca:

        Ты жил у мамы под юбкой в 90е, тебе не понять

        10

        5
        • Дмитрий:

          Где я жил и кем был — то мое дело.
          Но вот ты скажи, ты считаешь нормой, что отвечая шкурой за результат ты не получаешь % ?

          4

          1
          • dev/null:

            Дружище, в 90-е и не такое было. Тогда людей валили на право и на лево за копейку буквально. Да и щас тоже так. Если б ты начал качать свои права, тебя б в лучшем случае выкинули нахуй на мороз, а в худшем сломали б ноги и зарыли за ближайшей лесополосой. Это не как щас, где ты можешь послать нахуй 23-х летнего погонщика и спокойно съебать на другую галеру. Хорош жить в манямирке.

            7

            1
  34. Єбаццо в телевізор:

    Їх сервіс хоча б кращий ніж Воля… Підари купили Ейрбайт і тепер internet.NET

    0

    0
  35. Киевстар:

    Тобi пизда!

    5

    1
  36. ItBandera:

    Всі ви під пильним оком святого Бандери. Буду особисто кожного смузіхльоба інтерв’ювати в пеклі. Пам’ятайте про це!

    0

    3
  37. Георгий:

    Эм… Ну есть такой закон. Проще подать в суд. Звонишь в контору эту самую и присылаешь им данные. Они подают в суд. На Киевстар или тебя.
    А жаловаться на ебаном что тебе ответил автоответчик — ну такое. Тебе насчитают 100500 млн налогов. Ты напишешь в налоговую письмо — тебе придет такой же ответ. Тже жаловаться будешь ?
    В этом и суть обращения официального. Есть не официальные. Пишешь в Тви, ФБ и хуесосишь их. И потом уже на ебаном или хабр, после починки.

    1

    0
    • dev/null:

      Проще подать в суд, ты серьезно? Ты на судебные издержки потратишь больше, тем более в нашей стране где любое судебное решение покупается за пол кабана, судится с крупной компанией — считай, что проебал уже на старте. Ты как не в Украине живешь ей богу. Сразу видно, что никогда не судился.

      4

      1
  38. Тестировщик из Киевстар:

    Подстава! Провокация! Вы ничего не докажете!

    25

    1
  39. кулхацкер228:

    Ебаный стыд, ебаное катится в бездну. У этого поста уже 66 лойсов собралось. СУКА, вы серьезно думаете что там сидит какая нибудь хрюша пм или я ебу че еще за хуйня которая просматривает сообщения от КАЖДОГО блять обсоска которому кнопка не понравилась? Там система фильтрации имейлов которую наш герой не прошел и это его «ЛОЛ, что?!» выглядит так как будто он думает что ему ответил настоящий человек а не ЕБАНАЯ ПРОГРАММА ФИЛЬТРАЦИИ или я ебу как оно там правильно называется и до людей до которых должно было дойти оно тупо не дошло. Он дал время им. Спасибо. Кому блять ты дал время? Ебаной машине которая послала тебя нахуй? Ахуеть кулхацкеры собрались.

    Не в защиту Киевстара они тоже уебки.

    4

    3
  40. 4 кратний 1нах, семиголовий восьмихуй з чотирма піздопройобинами:

    90 нах!
    Всі решта сосуть прицмокуючи!

    1

    0
  41. Кэп:

    Когда айти еще было ниразу не ебаным, киевстар уже устраивал показушные флеш-мобы, на которые выгонялся почти весь персонал. «корпоративная культура», система внутреннего оценивания и прочая поебень там стояла та таком уровне, что современным галерам и не снилось.

    0

    3
    • Неподконтрольный:

      автору ума хватило остаться анонимом, это Хипстер.

      0

      0
    • колошматич:

      изза рукожопых айтишников Киевстара посадят посона низачто

      0

      0