Ошибки по обработке персональных данных?

Question

[igor123488]

Открыл лк МТС на домашнем компе, а получил доступ к чужому лк МТС! без пароля, без смс. Браузер яндекс пишет соединение защищено. Позвонил, чел живет в моем доме и недавно входил в аккаунт. МТС деньги открываются, паспортные данные видно.

Ужас! Я сам соответсвенно абонент МТС, что делать?

Comments

[rPman]

просто так ничего не происходит, даже баги

я не уверен про mts но я знаю что есть некоторые кривые реализаторы авторизации, когда авторизация может пройти по ссылке (например ее раздают в письмах на почту с рекламными предложениями, ты заходишь уже авторизованный) - не воспользовался ли ты такой ссылкой

но случайно она попасть к тебе не может, поэтому подумай хорошенько, что ты делал и что делала жертва?.

[igor123488]

Мтс у меня на экспресс панели браузера, так что ничего особенного я не делал, сразу попал в чужой ЛК.
Непонятно почему исключили тег яндекса, ведь я уже несколько раз перегрузил комп, а авторизация сохраняется и специально пароль от чужого аккаунта я не сохранял, у меня его нет.

[rPman]

яндекс тут не причем, авторизация должна храниться в куки браузера, любого
самый главный вопрос, как к вам попали чужие куки

выйди из личного кабинета, кнопка там сверху

p.s. вообще ситуация серьезная, ответь еще раз на мои вопросы, хоть какой то обмен данными с этим человеком у тебя был? а то до сих пор не понятно

[igor123488]

Никакого общения не было, ссылки кликал стандартные. Из лк выходить не хочу, вдруг кто то предложит алгоритм разбора ситуации.

[rPman]

Тебе достаточно сохранить куки (или весь профиль) на сервисы mts хоть вручную в текстовый фйлик из настроек браузера. Но маловероятно что кто то будет разбираться серьезно, ты с мтс связался им не интересно (а должно было бы), больше некому

Если тебе прямо сейчас надо в свой личный кабинет, заходи в него из режима incognito (приватный режим любого браузера) там куки не читаются и не сохраняются

p.s. не было никакого общения, к компьютеру он доступ не имел, никакие файлы тебе не передавал, почту ты его не читал и т.п.?

постарайся вспомнить что было до этого момента? раньше ты заходил в личный кабинет мтс?

существует очень маловероятный вариант что мтс авторизует сессию по ip адресу (это дырища страшная) а в условиях динамического выделения, вчера ip адрес принадлежал тому человеку сегодня тебе,.. но тогда события такого типа просходили бы сплошь и рядом, это значит твой сценарий чем то отличается от типичного поведения!

[igor123488]

Куки сохранил, жду ответа мтс.

[igor123488]

"Мы завершили проверку по вашему обращению: Личный кабинет работает корректно. Попробуйте воспользоваться им повторно. При возникновении сложностей рекомендуем перезагрузить оборудование. "
Как и следовало ожидать мтс ни в чем не признался и ничего не сделал.
У меня по прежнему остается доступ к чужому ЛК.

[rPman]

Обращение в мтс должен делать потерпевший, он пострадавший а вы тут просто свидетель

Ситуация такова что пока нет потерпевшего, система (госсударство, единственный законный инструмент насилия, способный пошевелить компанию типа мтс чтобы они пошевелились) не поможет, и мтс это знают

Убытков компания тоже не понесет, репутационные потери? - можно постараться максимально осветить подобное событие в соцсетях, но информации мало да и у компании (как и у остальных опсосов) уже давно косяков столько что еще один погоды не сделает

[igor123488]

Достаточно ли будет выходить из аккаунта по завершению работы или необходимы дополнительные меры в условиях "страшных дыр" мтс? Какие?
Где еще можно об этом написать?

[rPman]

igor123488, по уму да, но чтобы отвечать на такой вопрос, нужно понимание причины этого бага, а у нас его нет

[igor123488]

Мне показалось вы все правильно описали - авторизация по IP( 5.02 была перезагрузка роутера, а вечером я попал ), чел живет со мной в одном доме, значит пров один и одинаковый браузер

[rPman]

igor123488, может да а может и нет
если авторизация по ip адресу то я сочувствую клиентам мтс, слишком криворукие у них разрабы, но как я сказал, если бы так было все просто - подобная проблема была бы чаще

регулярное удаление авторизации (выход из аккаунта) с большой вероятностью поможет, так как при простом закрытии браузера максимум что может сделать система - это отслеживать время жизни токена, то действие - это возможное удаление токена и возможно что-нибудь еще.... т.е. это уменьшение вероятности что подобный баг сработает и кто то получит твою сессию

я бы еще рекомендовал входить в личный кабинет (любой, не только мтс) из приватной вкладки браузера, в этом случае и локально сессия будет завершаться (куки не будут сохраняться) безальтернативно по закрытию вкладки автоматически

Answer 1

[Василий Банников]

Ну это ошибка явно на стороне МТС, а не яндекса.
Так что пиши в МТС - пусть разбираются.

Answer 2

[Sergey В.]

Пиши статью на Хабре о найденной уязвимости )

Comments

[igor123488]

Я далеко не специалист по ит безопасности, готов попытаться предоставить данные тому кто решит это сделать. У меня есть снимки экранов чужого Лк. А техподдержка МТС говорит что сосед пришёл( а я и не знаю!!!)
ко мне домой и не вышел из кабинета, надо просто выйти и проблема решена((