सुरक्षा उद्देश्यों के लिए, विभिन्न सेवाओं के व्यक्तिगत खातों में प्रवेश करते समय, 2FA का उपयोग अक्सर किया जाता है - लॉगिन और पासवर्ड के अलावा, आपको एक बार कोड दर्ज करना होगा।
लेकिन, जैसा कि यह पता चला है, दो-कारक प्रमाणीकरण के साथ भी सब कुछ इतना सुरक्षित नहीं है - पिछले साल मैंने तीन पाया (!) सेवाएं जब एक बार लॉगिन कोड, जो क्लाइंट को एसएमएस के माध्यम से भेजा जाता है, अनुरोध में ही देखा जा सकता है।
आगे इस बारे में संक्षेप में कि यह विशिष्ट उदाहरणों से क्या खतरा है।
1. गैस स्टेशनों का एक लोकप्रिय नेटवर्क, 500,000 से अधिक पंजीकृत ग्राहक।आपके व्यक्तिगत खाते के वेब संस्करण में प्रवेश करते समय एक अनुरोध:POST https://someazs.ua/ua/profile/auth/ Accept: application/json, text/javascript, */*; q=0.01 Accept-Encoding: gzip, deflate, br Accept-Language: ru,en-US;q=0.9,en;q=0.8,uk;q=0.7 Connection: keep-alive Content-Length: 408 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Cookie: PHPSESSID=6n3l2o90hfb020u9ag020u8ha1; usersomeazs_popupcoupons=1;... Host: someazs.ua Origin: https://someazs.ua Referer: https://someazs.ua/ua/login/ User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36 X-Compress: null X-Requested-With: XMLHttpRequest data[phone_mask]: 951234567 data[phone]: 0951234567
उत्तर:
{"Status":0,"Code":"7038","status":true,"step2":true}एसएमएस से कोड - 7038 - केवल सर्वर की प्रतिक्रिया में दिखाई देता है।
वह यह है कि साइट पर, व्यक्तिगत खाते में प्रवेश करते समय, प्रतिक्रिया में एक बार लॉगिन कोड होता है, जो क्लाइंट को एसएमएस द्वारा भेजा जाता है - आप केवल ग्राहक के फोन नंबर को निर्दिष्ट करके किसी अन्य के खाते में लॉग इन कर सकते हैं और अनुरोध में ओटीपी को देख सकते हैं।
आपके व्यक्तिगत खाते में उपलब्ध हैं: लॉयल्टी कार्ड नंबर, नाम, शेष (UAH, लीटर, कॉफी में बोनस), लेनदेन का इतिहास, सेटिंग्स में - जन्म तिथि, ग्राहक ई-मेल, आदि।
गैर-तकनीकी प्रकृति (उदाहरण के लिए, ग्राहक बज) की आगे की क्रियाओं की मदद से, उचित भाग्य के साथ, कोई ग्राहक धन / लीटर / कॉफी का उपयोग कर सकता है। मैं "सौभाग्य के साथ" क्यों लिख रहा हूं? जब मैंने समस्या के बारे में बात की, तो मुझे बताया गया कि अन्य लोगों के बोनस द्वारा बस्तियों को प्रदर्शन करना इतना आसान नहीं है, भले ही आपके पास खाते तक पहुंच हो, क्योंकि अतिरिक्त चेक हैं। हालांकि ...
त्रुटि को जल्दी ठीक किया गया, धन्यवाद।
2. सामाजिक दुकानों का एक नेटवर्क ( फिक्स-प्राइस के समान), एक मोबाइल एप्लिकेशन (100 हजार से अधिक डाउनलोड)
फ़िडलर के माध्यम से अनुरोधों को ट्रैक करते समय, मैंने निम्नलिखित पर ध्यान दिया। मोबाइल एप्लिकेशन में प्रवेश करने पर, फ़ोन नंबर और लॉयल्टी कार्ड दर्ज करने के बाद, ग्राहक को एक बार कोड भेजा जाता है।
समस्या यह है कि यह फॉर्म के GET अनुरोध को कार्यान्वित करता है:
https://bulk.somesmssender.com/?sending_method=sms&from=someretailes&user=onviber4821&txt=%D0%9A%D0%BE%D0%B4+%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%3A+1234&phone=380987654321&sign=42f66957a03090eb90556b0ef7fed2e1
इस अनुरोध में सीधे एक बार का कोड दिखाई देता है: भेजे जा रहे एसएमएस का पाठ है
%D0%9A%D0%BE%D0%B4+%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%3A+1234&
एक साधारण रूपांतरण रिपोर्ट: कोड + पुष्टि: +1234
यानी आवेदन में ही, आप देख सकते हैं कि कौन सा कोड भेजा जाएगा। यहां आप दूसरे कारक के बिना पहले से ही अन्य लोगों के खातों में भी प्रवेश कर सकते हैं।
किसी कारण से, इस नेटवर्क के ग्राहक धोखाधड़ी से कम से कम सुरक्षित हैं, इसलिए मैंने कंपनी को जानकारी देने के लिए कई बार कोशिश की। मैंने अगस्त में प्ले मार्केट में एप्लिकेशन पेज पर दिए गए पते पर तीन बार लिखा था - मुझे एक भी जवाब नहीं मिला, यहां तक कि एक स्वचालित भी नहीं।
बाद में मैंने एक कंपनी को लिखा जिसका एसएमएस वितरण सेवा वे उपयोग करते हैं। उन्होंने मुझे जवाब दिया कि मोबाइल एप्लिकेशन के मालिक से संपर्क करना आवश्यक है, क्योंकि वे अपने हिस्से के लिए, इस कंपनी के विकास और सूचना के हस्तांतरण को प्रभावित नहीं कर सकते हैं।
यह सच है, लेकिन, मैंने यह माना कि संदेश सेवा एक भागीदार / ग्राहक के रूप में उन्हें प्रभावित कर सकती है। इसके अलावा, मैंने मेलिंग सेवा को जो कारण लिखा है, वह यह है कि मैंने जो जीईटी अनुरोध किया है, वह ठीक उनके विकास का है, और यह भी उनके अधिकांश ग्राहकों के साथ ऐसा ही है। मैंने सुझाव दिया कि यह वितरण तर्क को सही करने के लिए सेवा के लिए वांछनीय होगा - ग्राहकों के दोनों फोन नंबर और अनुरोध में एक बार कोड को प्रसारित करने के लिए नहीं - उन्होंने मुझे जवाब नहीं दिया।
थोड़ा और मैंने इस समस्या को बताने की कोशिश कीफिर स्टोर की वेबसाइट पर मैंने संपर्क ईमेल को लिखा, मैंने इंतजार किया - और फिर कुछ भी नहीं। लेकिन जब से मैं जिद्दी हूं, मैंने एक ही साइट पर सभी संभावित संपर्कों (सामान्य मेलबॉक्स और व्यक्तिगत पते) पर पाया और उन्हें लिखा - जैसा कि आप जानते हैं, किसी ने भी जवाब नहीं दिया।
इसलिए, बाद में मैंने चैट का रुख किया और सीधे चैट में यह सवाल पूछा कि क्या उन्हें मेरे पत्र मिले हैं। पहले तो उन्होंने जवाब दिया कि उन्होंने नहीं देखा, फिर उन्होंने पाया और वादा किया कि वे इसे दे देंगे।
दिलचस्प है, आवेदन के मुख्य पते पर ईमेल पर प्रतिक्रिया की कमी के अलावा, चैटिंग के बाद मुझे पत्र प्राप्त हुए। उनमें से एक में मैंने देखा कि कैसे वे मुझे सिस्टम में लाए: "चतुर आदमी"
ग्राहक के प्रति इतना रुख।
जब मैंने आखिरी बार जाँच की, तो
एवोरा से कोई फिक्स नहीं था।
वितरण सेवा की ओर से कोई सुधार नहीं किया गया था, लेकिन यहां स्थिति अधिक गंभीर है, इसलिए मैं सीधे सेवा के नाम का संकेत नहीं देता हूं।
3. डिस्काउंट कार्ड स्टोर करने और मोबाइल भुगतान करने के लिए एक मोबाइल एप्लिकेशन (130 हजार से अधिक ग्राहक)प्रवेश द्वार पर आपको केवल ईमेल और कोड दर्ज करना होगा। इस स्थिति में, क्वेरी निष्पादित होती है:
POST http://api.somewallet.com/mobileclient.svc/getRegistrationCode HTTP/1.1 Content-Type: application/json; charset=UTF-8 Content-Length: 100 Host: api.somewallet.com Connection: Keep-Alive Accept-Encoding: gzip User-Agent: okhttp/3.12.3 {"request":{"Culture":"ru_RU","DeviceIdentifier":"4514825570005447","Identifier":"some@email"}}
यहाँ जवाब है:
{"GetRegistrationCodeResult":{"ErrorMessage":{"Code":0,"LogReferenceId":0,"Message":"SUCCESS"},"Data":{"Code":"044912"}}}
यहां, उत्तर उस कोड को भी दिखाता है जिसे दर्ज करने की आवश्यकता है (044912)।
लॉग इन करने के बाद, मुझे निम्नलिखित कार्यों तक पहुँच मिली:
- उन पर वफादारी कार्ड और बोनस देखना,
- कुछ दुकानों के लिए कूपन,
- ग्राहक के बारे में संपर्क जानकारी (फोन नंबर और ईमेल, जन्म तिथि और नाम)
- 4-अंकीय पहुंच कोड को सेट करना, बदलना और हटाना
- भुगतान कार्ड देखें
- भुगतान टोकन प्राप्त करना (मेरे पिछले लेख के टोकन के समान है कि किसी और के खर्च पर टैक्सी कैसे चलाएं )।
इस प्रकार, एप्लिकेशन के सभी कार्य किसी के लिए भी सुलभ हो सकते हैं, जो इस एप्लिकेशन के उपयोगकर्ता के ईमेल पते को इंगित करता है - आपको उपयोगकर्ता से एक बार का कोड पता करने की आवश्यकता नहीं है, क्योंकि यह प्रवेश पर तुरंत दिखाई देता है। समस्या अन्य दो के समान है।
उन्होंने मेरे संदेश का जवाब दिया, भेद्यता तय की और उन्हें आर्थिक रूप से धन्यवाद दिया।
हम कह सकते हैं कि कभी-कभी सेवाओं में आप प्राधिकरण अनुरोधों को देखते हुए दो-कारक प्रमाणीकरण को बायपास कर सकते हैं। और यह वेबसाइट और मोबाइल एप्लिकेशन दोनों को प्रभावित करता है। तो अगली बार जब आप व्यक्तिगत खाते के साथ सेवाओं का विकास या परीक्षण करते हैं, तो इस पर ध्यान दें।