Уязвимость сайта Мегафона приводит к бесконтрольному списыванию денег со счетов

В системе безопасности сотового оператора "Мегафон" выявлена уязвимость, которая позволяет взламвать счета клиентов и похищать у них финансовые средства. Представители компании были уведомлены о проблеме, однако до сих пор не исправили ее. Мегафон предоставляет своим клиентам службу "СервисГид", посредством которой можно управлять услугами компании, подключать тарифы и настраивать уведомления без участия оператора. Вход на сайт "СервисГида" предусматривает ввод капчи, которая препятствует взлому через подбор пароля. Однако капча иногда слишком сложная и некоторые пользователи предпочитают использовать портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей и требует учетных данных от "СервисГида".

Сайт-дублер позволял мошенникам подобрать пароли от "СервисГида" и получить доступ к учетным записям пользователей, в частности, к чтению входящих SMS и их отправке. Вследствие злоумышленники подписывали клиентов на платные сервисы и получали агентские проценты от Мегафона за списанные деньги со счетов по платной подписке. Пользователям советуют использовать более сложные пароли для входа в "СервисГид", а также заблокировать применение любых платных сервисов или подписок, списывание денег с коротких номеров при помощи услуги "Стоп-контент".

Определить что от вашего имени заходили в сервис messages.megafon.ru очень просто - если у вас подключена услуга СМС-информирование. В таком случае вы будете получать СМС о входе в вышеупомянутую систему, в то время, как вы даже не думали заходить  на этот сайт. В этом случае нужно срочно сменить  пароль и отключить сервис UMS. 

Если же вы не уверены, что у вас подключена система СМС-информирования то мы также рекомендуем отключить сервис UMS:

Сделать это можно так:

заходим на сайт sg.megafon.ru

вводим логин, пароль,

выбираем "Услуги и тариф" 

выбираем подпункт "Изменение набора услуг"

далее в разделе "Группа" выбираем "Популярные услуги"

в открвшимся перечне убираем галку (если она есть) "Услуга UMS"

Примечение. 

Возникает вопрос - а что такое UMS и вообще зачем нам навязывают этот сервис? Ответ на это дает сайт мегафона:

Подключив услугу UMS и установив на своем телефоне приложение или воспользовавшись веб-порталом, вы также сможете:

• Хранить и просматривать SMS/MMS/UMS-переписку на веб-портале
• Задавать время отправки SMS/MMS/UMS-сообщений
• Установить автоответ на входящие SMS/MMS/UMS-сообщения
• Установить переадресацию входящих SMS/MMS/UMS-сообщений
• Добавить подпись к отправляемым SMS/UMS/Email
• Получать SMS-уведомления о входящих Email
• Настраивать фильтрацию входящих сообщений
• Подключить свои аккаунты в социальных сетях, чтобы просматривать новостные ленты и публиковать сообщения, добавляя к ним фото-, видео- или аудиофайлы
• Сохранять, просматривать, добавлять и редактировать контакты адресной книги, а также добавлять контакты из своих подключенных аккаунтов в социальных сетях.

Комментарии