Хакер утверждает, что имел возможность получить доступ и к данным клиентов компании, однако не стал этого делать по этическим соображениям. В качестве доказательство w0rm предоставил несколько скриншотов, демонстрирующих файловую структуру одного из сайтов и панель управления доменным именем megafon.mobi.
По словам исследователя, он решил изменить пароль для входа в свой личный кабинет. При смене пароля оказалось, что пароль состоит всего из 6 цифр, и изменить пароль можно только на шестизначный цифровой эквивалент. Пароль длиной всего в 6 цифр можно довольно легко подобрать при отсутствии механизмов блокировки от брут-форса. Таковым на сайте "Мегафона" являлась каптча.
Обойти эту защиту позволил устаревший виджет "Яндекса", где не требовалось вводить каптчу. Таким образом, по словам исследователя, за 20-30 минут подбора пароля можно было заполучить доступ к произвольному личному кабинету по номеру телефона абонента и просмотреть детализацию звонков, SMS, ФИО и данные о платежах.
Небывалый успех сподвиг хакера на проведение аудита нескольких других доменов, принадлежащих компании. В результате удалось заполучить архив с резервной копией системы управления проектами Jira от начала 2015 года. Используя полученные в архиве учетные данные сотрудников "Мегафона", w0rm заполучил доступ к некоторым служебным ресурсам и корпоративной почте.
В пресс-службе "Мегафона" ответили, что фактов успешного проникновения в систему зафиксировано не было. В настоящий момент компания проводит дополнительные проверки по фактам сообщений в соцсетях.
Напомним, что в мае этого года w0rm уже осуществлял успешную атаку на развлекательный ресурс "Спрашивай.ру". Тогда исследователь выложил в общий доступ архив с паролями пользователей сервиса. До этого он успешно атаковал сайты иностранных СМИ, таких как The Wall Street Journal и Vice.
securitylab.ru