Хакер узнал пароли клиентов "Мегафона"

Российский хакер, известный в Сети под ником w0rm, смог получить доступ к файлам, хранящимся на нескольких сайтах оператора "Мегафон", а также к служебным данным сотрудников компании.

Как пишет TJournal, хакер купил SIM-карту оператора и решил поменять пароль на доступ к личному кабинету, после чего обнаружил, что пароль состоит из шести цифр. Смена доступа приводила к тому, что система выдавал другой пароль, также состоящий из шести цифр.

Также w0rm выяснил, что войти в личный кабинет на сайте оператора можно через виджет для главной страницы поисковика "Яндекс", где не требуется ввода CAPTCHA. Использовав собственный программный код, хакер смог получать пароли к личным кабинетам любых абонентов. На подбор пароля уходило 20-30 минут.

После этого w0rm решил исследовать ресурсы "Мегафона" на наличие других уязвимостей. В результате ему удалось получить доступ к используемым сотрудниками оператора паролям и другим служебным данным.

Представители "Яндекса" сообщили TJournal, что виджеты "Мегафона" уже более полугода не отображаются на главной странице поисковика. По словам самого w0rm, подбирать пароли ему удавалось через виджет на сайте уральского филиала оператора (в настоящее время виджет недоступен).

В свою очередь, представители "Мегафона" заявили, что случаев несанкционированного доступа зафиксировано не было. "Сейчас мы проводим дополнительную проверку по фактам сообщений в соцсетях", - добавили в компании.