На сайте Beeline была обнаружена и устранена уязвимость
Проблема возникла на платежном сервисе Oplata.beeline.kz.
В середине марта представители Центра анализа и расследования кибер-атак заявили о серьезной уязвимости, обнаруженной на платежном сервисе Oplata.beeline.kz, которая позволяла осуществлять кражи денежных средств с платежных карт зарегистрированных пользователей. Как сообщили в ЦАРКА, атака могла быть реализована посредством взлома личного кабинета пользователя через функцию сброса пароля. При использовании этой уязвимости пользователю высылается SMS с четырехзначным цифровым кодом, который может быть подобран путем прямого перебора.
«Перебор кода занимает несколько минут и позволяет заменить основной пароль. Далее полученный доступ в личный кабинет пользователя с привязкой к платежной карте клиента может быть использован атакующим в собственных целях», — пояснили в ЦАРКА.
Представители ЦАРКА отмечают, что подобный случай — совсем не единичный для Казахстана: «Проблема довольна актуальная, учитывая отношение отечественных разработчиков к базовым средствам защиты. Если подобная уязвимость совсем недавно была найдена на Facebook, то что говорить о наших системах. Кстати, за данную уязвимость Facebook заплатил 15000 долларов вознаграждения».
Уведомление о найденной проблеме было направлено мобильному оператору, который провел работы по устранению уязвимости.
«Ребята нашли уязвимость, нам о ней рассказали, мы ее поправили. Договорились о том, что они делают правильное дело. Если они у нас что-то еще найдут, пусть говорят, мы поправим. Наши эксперты посмотрели, уязвимость теоретически была, но чтобы ее фактически достигнуть, там нельзя было за 5 минут „сломать“ и деньги какие-то вытащить. Там есть еще дополнительные системы защиты. Но мы даже эту возможность пресекли. Никакого вреда и никаких рисков для абонентов нет. Система безопасна в настоящий момент», — говорит Алексей Бендзь, директор по корпоративным коммуникациям Beeline Казахстан.
«Исправление такой уязвимости не сложное и может занять не более 1 рабочего дня с учетом всех бюрократических моментов. По сути, личный кабинет теперь защищен: при вводе двух неправильных паролей пользователю отправляется SMS с новым паролем. Однако существует возможность осуществления атаки на пользователя путем отправки ему множества SMS. Устранение уязвимости можно было реализовать проще — добавить ввод капчи, лимит на количество SMS в день или таймер (ограниченное время для ввода пароля)», — отметили представители ЦАРКА.
Кстати, в ЦАРКА говорят, что найденная уязвимость все же могла обернуться для абонентов серьезными потерями. Вот что узнал Profit.kz: «Beeline является одним из лидеров рынка услуг связи. В настоящее время данная услуга активно рекламируется. По самой скромной оценке, используя данную уязвимость, злоумышленники могли нанести общий ущерб пользователям данной услуги на десятки миллионов тенге. Это если мы говорим о финансовых потерях. Здесь дополнительно нужно также учесть, что злоумышленники могли получить данные владельца номера (ФИО, историю платежей и т.д.). В случае множества мелких краж, деятельность мошенников могла быть не замечена долгое время».