Мегафон — есть ли у вас эта уязвимость?

Question

[vsespb]

Захожу с мобильного на
https://szfsg.megafon.ru/ps/scc/mobile/
Тут же получаю возможность зайти в свой СервисГид без пароля. При этом соответствующая галочка есть в настройках и находится в позиции "запрещено", при этом я её никогда не трогал.
Похоже на дыру. Техподдержке сообщал но результатов не добился.

Вопрос: у всех такое?

UPD: опубликовал статью на хабре по этому поводу habrahabr.ru/post/264849

Comments

[Зелимхан Бельтоев]

На Хабре опишите - мигом закроют =D

[vsespb]

Собираю статистику, много ли у кого такая проблема

[vsespb]

опубликовал, в текст вопроса добавил апдейт

Answer 1

[Ripich]

Более того, через пошаренный айпадом инет умудрился, работая с ноута, получить платную подписку без всяких уведомлений. Обнаружил только через день.

Comments

[RadialAdmin]

Хитрость в том, что для отключения таких подписок у них есть услуга, но она не работает как заявлено, она была у меня включена и подписки типа были не возможны, они признали это в переписке и вернули мне деньги.

Answer 2

[hobbyte]

Стоит запрет.
При открытии спрашивает: "войти под вашим номером или под другим" + галка: "запомнить на 7 дней".

Comments

[vsespb]

У меня если нажать на кнопку "войти под моим номером" (указан сам номер), то происходит вход без пароля. Не понял из вашего сообщения - так в итоге можно войти без пароля или нет?

[hobbyte]

vsespb:
Аналогично вашему: 'У меня если нажать на кнопку "войти под моим номером" (указан сам номер), то происходит вход без пароля.'
Прошу прощения, некорректно сформулировал.

Answer 3

[Дима]

Возможно, вы используете "мобильный интернет", поэтому доступ к сервис-гиду возможен без пароля

Comments

[vsespb]

это и есть уязвимость. если я буду раздавать интернет через вайфай с телефона, то клиенты могут посещать мой личный кабинет. любое вредоносное ПО, установленное на телефоне или на компьютере, который пользуется этим интернетом, тоже. даже если у него отсутствую какие-либо привилегии в системе (привилегии в системе и есть защита от вредоносного ПО)

[Дима]

Понятно, не подумал. Попробуйте напомнить о себе в тех. поддержку :)

[vsespb]

Дима: это само собой. пока хочу понять у меня одного это, или у многих

Answer 4

[RadialAdmin]

Не совсем в тему, но вдруг кто прочитает. При подключении у мегафона выделенного IP внимательно читайте все страницы договора, там есть заныканный момент, что трафик у вас будет тарифицироваться без учета опций, т.е. по заоблачной цене.