Адрес для входа в РФ: exler.world
А вы расшариваете свой "Билайн"?
28.05.2021 14:50
14257
Комментарии (116)
Денис Руденко обнаружил интересную особенность "Билайна" при расшаривании мобильного Интернета этого оператора.
В сетевой безопасности проблемы бывают трех уровней "уязвимость", "дырища" и "полныйиздес".
Сегодня, сам того не желая, обнаружил у мобильного Билайна проблему даже более серьезную, чем третий уровень, хотя и не думал, что такое возможно!
Итак, следите по пунктам:
Если вы раздаете с телефона личную трчку доступа в Интернет по WiFi, то любой человек, подключившийся к вашей точке, может запустить у себя на телефоне официальное приложение "Мой Билайн" и мгновенно получить полный доступ ко всей вашей личной информации, пакетам, возможностью удаления вашей сим-карты из тарифного плана, его изменения и вообще всему, что можно сделать из личного кабинета.
Билайн просто не различает ваш телефон и телефон, подключенный через расшаренный вами интернет.Поэтому никогда, ни при каких условиях, не делайте "ща, я расшарю интернет", Билайн позаботился о том, как потенциально обеспечить вам безгранично большие проблемы!
Войдите, чтобы оставить комментарий.
А если к вайфаю в метро подключился, будет такая проблема иметь место?
И в МТС тоже можно так в личный кабинет зайти, тоже мне открытие. Не раздавать кому попало, ну и сразу смс о входе приходит
У МТС кстати другой косяк с интернетом недавно вылез. Прислали значит СМС "подключайте премиум бесплатно на месяц, вот прям совсем безлимитный интернет!". Мне пакета 15Гб и так хватает, в т.ч. расшаривать когда надо, но включил попробовать. Там еще "защита от спам-звонков". Стала каждый день приходить СМС "мы вас защитили от такого-то количества звонков", которых до этого не было вообще-то. Через несколько дней пришла СМС "бесплатный лимит интернета, который можно предоставлять с телефона в общий доступ, подходит к концу". Да ну вас нахрен, отключил эту "прекрасную услугу". Появились спам-звонки )) Вчера пришла СМС - "попробуйте Премиум бесплатно на 2 месяца!"...
У меня на даче стоит роутер, который раздает интернет через мегафоновский "свисток". Так если из этой WiFi сети зайти даже через браузер в личный кабинет мегафона, то он тоже даже пароли не спрашивает. Просто запускает туда и все. Видимо, проблема общая...
а*уеть. как вообще так можно
Иногда интересные особенности Билайна бывают во благо. У моих бывших соседей-раздолбаев, проживавших этажом ниже, стоял незапароленный беспроводной роутер. Пароль на вход в админку, разумеется, тоже по дефолту. В настройках вижу данные для подключения по L2TP. Не знаю как сейчас, а раньше логином был номер договора. С доступом в личный кабинет монтажники Билайна тогда тоже особо не парились и по умолчанию лупили всем пароль 12345678, из-за чего пришлось менять его и у себя, и у родителей. На странице входа в личный кабинет ввожу номер договора и 12345678, предсказуемо успешно вхожу, испытывая фейспалм, и вижу ФИО, паспортные данные, адрес, по которому и вижу, что открытый роутер находится под нами. Соседей со своего этажа мы всех знали на тот момент. А с этими, пусть и таким необычным способом, но, тем не менее, приятно познакомиться. Через несколько лет соседи снизу куда-то съезжают. Разумеется, оставив стояки открытыми. В один прекрасный день из-за этого затапливает несколько этажей снизу. Управляющая компания перекрывает стояки водоснабжения и уведомляет жильцов, что взламывать квартиру без согласия собственника, чтобы перекрыть краны в квартире, они не будут, т.к. это незаконно, а выйти на связь с самим собственником не удается, его номера телефона и прочих контактных данных у них нет. Также, никто из жителей подъезда не владеет информацией ни о собственнике, ни о бывших квартиросъемщиках. На 4-й день без воды говорю "баста!" и начинаю искать по имени и фамилии бывшую соседку, благо память не подвела. Нахожу в одной из соц.сетей. Захожу на страницу и вижу, что она заходила в соц.сеть сегодня же. Иду в управляющую компанию и предлагаю им на условиях анонимности ссылку на страницу бывшей квартиросъемщицы. В управляющей компании радостно соглашаются и часа через 3 вода появляется.
На самом деле проблема ( при наличии пароля на вайфай) будет примерно такая -
1 расшарил интернет.
2 подключил и запустил ЛК.
В какой ( в чей) ЛК он попадет? В свой или в 1?
Сможет ли он к примеру пополнить СВОЙ баланс или поменять свой тариф? Или он это сделает с балансом и тарифом 1?
В общем то жопа жопная...
1 расшарил интернет.
2 подключил и запустил ЛК.
В какой ( в чей) ЛК он попадет? В свой или в 1?
Сможет ли он к примеру пополнить СВОЙ баланс или поменять свой тариф? Или он это сделает с балансом и тарифом 1?
В общем то жопа жопная...
А вы не шарьте телефон кому попало 😄 И так не только у Билайна, в комментах у Дена и про мегафон с МТС такое писали. А я добавлю - запросы на платные подписки, которые отправятся с телефонов, подключенных к вашему, будут исполнены для вашего номера за ваш счёт 😄
И в принципе не скажу, что дыра-дыра, провайдер определяет ваш телефон по его номеру, это логично и надежно, если не шарить доступ. Ну так не надо шарить кому попало.
И в принципе не скажу, что дыра-дыра, провайдер определяет ваш телефон по его номеру, это логично и надежно, если не шарить доступ. Ну так не надо шарить кому попало.
А вот кстати зачем раздавать свой мобильный интернет всем без пароля? Кто вообще в здравом уме будет создавать точку доступа без пароля?
Вот это о чем?
Итак. Денис.... Что то определил... теперь это пост. вот зачем???
kay761 28.05.21 17:54
1 0
Вы за 3 года оставили 22 комментариев, из них 10 к этому посту. Этого более чем достаточно ?
Ulises kay761 28.05.21 18:08
kay761 28.05.21 17:54
1 0
Вы за 3 года оставили 22 комментариев, из них 10 к этому посту. Этого более чем достаточно ?
Ulises kay761 28.05.21 18:08
Итак. Денис.... Что то определил... теперь это пост. вот зачем???
Ну скорее всего устанавливается привязка для входа в кабинет номер - IP адрес для удобства входа (или же куки не хранит, а только адрес), а поскольку точка доступа на телефоне клиента прячет за nat, клиент и получает тот же доступ, что и телефон хозяина (адрес видится то один).
А надо бы как обычно - имя-пароль или двухфакторку.
А надо бы как обычно - имя-пароль или двухфакторку.
Давайте лучше подумаем, а что получает разбойник, ворвавшись в личный кабинет? Возможность поменять тариф? А зачем? Чтобы интернет, в котором он сейчас работает, отключился? Негодяй получит доступ к и информации о вашем балансе и расходах? Подключит какой-нибудь платный пакет или подписку? Так не себе же подключит... Короче - хи-хи два раза.
У Вани Усовича был такой стендап - когда ему сказали, что надо пароль от личного кабинета в строительном магазине надёжней хранить ))) ""И чё он сделает? Купит себе дрель?"
У Вани Усовича был такой стендап - когда ему сказали, что надо пароль от личного кабинета в строительном магазине надёжней хранить ))) ""И чё он сделает? Купит себе дрель?"
Блин, ну сколько можно. Товарищ купил тарфный план на устройство, дальше нарушил все что можно, раздал интернет вокруг, сейчас интересуется, как это на хрен. Ответ а вот так.
ну есть варианты.
Товарищ купил тарифный план на устройство, дальше нарушил все что можно, раздал интернет вокруг, сейчас интересуется, как это на хрен.
Во-вторых. Если безопасность личного кабинета строится на предположении, что клиент в точности следует всем пунктам договора, не отступая от них ни на йоту - то это безопасность для идеальных людей, которой не место в реальном мире, а в реальном мире это хреновая безопасность.
В третьих. Если дело обстоит так как описал Денис, то доступ к личному кабинету имеют все приложения, запущенные в данный момент на телефоне. Что потенциально очень серьёзная дыра (если в условиях плана сказано "на телефоне не должно быть приложений, которые делают не то что хочет клиент", то см. во-вторых).
Блин, ну сколько можно. Товарищ купил тарфный план на устройство, дальше нарушил все что можно, раздал интернет вокруг, сейчас интересуется, как это на хрен. Ответ а вот так.
ну есть варианты
Где я живу, нет кабельных операторов. Инет раздается мобилкой на несколько компов, именно билайн. Чтобы к нему подключиться, надо ввести такой пароль, что если человек его сможет подобрать, то насрать какие там уровни безопасности у провайдера, он хоть кремль, хоть пентагон взломает как Хью Джекман в Swordfish
И таки это оправдывает то, что приложение мойбилайн идентефицирует пользователя по соеденению
Такая спорная авторизация сделана явно намеренно
Хм... Надо проверить. Правда у меня Казахстанский Билайн...
Ну и так в качестве рекламной паузы. Пользуюсь на даче Теле2. Год назад в силу пандемии переезжали туда жить. До этого пользовались лимитированным трафиком, симку в рутере Huawey. Перевел как самый хитрый тариф на анлим, после этого скорость уапала до нуля. После перевода на лимитированный план скорость восстановилась. Итого. У мобильных операторов есть строгие правила использования трафика. Если ты очень умный, тебе это не поможет. Читайте правила использования, не постите всякую хрень
На yota такого не заметил. Скорость на анлиме не падает.
Мегафон. Анлим, можно расшаривать, скорость не падает. Торренты не качал, но ютьюб, сайты, RDP/SSH - всё летает.
Меняйте оператора. Мегафон 4G с безлимитным тарифом 40 Мбит на подмосковной даче выдает. Для работы, видеочатов и онлайн-кинотеатров хватает.
У меня безлимитный тариф Мегафона. Активирован в тульской области (там тариф дешевле), перевезён в московскую, тут и работает. 360 руб в месяц (240 руб. тариф, и по 4 рубля в сутки берут за то, что симка более 90 дней находится вне домашнего региона. Если метнуться с ней на день в Тулу, тариф на ближайшие 3 месяца снова упадет до 240 руб.). Раздача интернета запрещена, торренты запрещены - провайдер в случае нарушений режет скорость. Поэтому роутер, в котором стоит симка, прикидывается Айфоном, и торренты я тоже лью без ограничений. Это как с Роскомнадзором - он делает вид, что блокирует сайты, мы делаем вид, что страдаем )))
На yota такого не заметил. Скорость на анлиме не падает.
Значит, вам не повезло с тарифом. У меня мегафон, приехавший из Томской области. 240 рублей, безлимит, раздача и торренты не ограничиваются. Но архивный уже.
Такая же фигня была (ну наверное и есть) у МТС - помню прикольно было видеть совсем другой кабинет, зацепившись за бесплатный (и беспарольный) инет в автобусе какого нибудь Эколайн, едущего в Таллин.
Таллин, но Tallinn
Таллинн
Таллин, но Tallinn
Билайн просто не различает ваш телефон и телефон, подключенный через расшаренный вами интернет.
Ключевая фраза. Истина. Вот зачем этот пост?
Ключевая фраза. Истина. Вот зачем этот пост?
Т.е. все правильно сделали? Серьезно?
Вот как объяснить, что у вас тариф на личное устройство, а вы пытаетесь его раздать всем кому не попадя.
Еще раз. Оператор с ваизаключил договрор на предоставление услуг, только с вами, то, что вы ... это ваша проблема.
Хм. Где деньги и личные данные? И устройство?
Т.е. это не операторы - идиоты, когда не предусмотрели этого сценария, да?
Ну - ок. Так можно договориться, мол а для чего банк присылает одноразовые пароли при различных сценариях?
Очевидный косяк в безопасности, который есть, кстати, у всех. Лечится обязательным введением пароля при входе в личный кабинет
Ну - ок. Так можно договориться, мол а для чего банк присылает одноразовые пароли при различных сценариях?
Очевидный косяк в безопасности, который есть, кстати, у всех. Лечится обязательным введением пароля при входе в личный кабинет
Такая схема работает и у МТС и у Мегафона.
У Мегафона в личном кабинете можно ужесточить безопасность, чтоб не пускало в личный кабинет без пароля даже если выходишь в инет с этой самой сим карты.
У Мегафона в личном кабинете можно ужесточить безопасность, чтоб не пускало в личный кабинет без пароля даже если выходишь в инет с этой самой сим карты.
Ну и тариф в студию. Он заплатил за: тариф для устройства или за раздачу другим?
Глупость конечно, только претензии только здесь можно озвучить
Да у всех так будет работать. Сервер определяет пользователя по устройству-инициатору.
Можно подумать, никто никогда не выходил через телефон с компьютера. Еще и подписать на какой-нибудь гороскоп можно, до кучи.
Дениса-то можно простить, а удивление Алекса, прошу прощения за тавтологию, удивительно.
Можно подумать, никто никогда не выходил через телефон с компьютера. Еще и подписать на какой-нибудь гороскоп можно, до кучи.
Дениса-то можно простить, а удивление Алекса, прошу прощения за тавтологию, удивительно.
Сервер определяет пользователя по устройству-инициатору.
Не, сервер, о котором идет речь, похоже, так и определяет, но это абсолютно неправильно.
Зайдите на exler.ru, залогиньтесь.
Поставьте себе другой броузер, зайдите на exler.ru. Ой, не залогинены? Странно, правда? Ведь того же устройства заходил.
Не, сервер, о котором идет речь, похоже, так и определяет, но это абсолютно неправильно.
А если я с телефона без симки зайду?
Дениса-то можно простить...
Потребует логин и пароль
Сервер определяет пользователя по устройству-инициатору.
С каких пор Алекс на мобильном интернете сидит?
Сервер Алекса я привел как пример, не более.
Оператор идентифицирует вас по симке. Этого в данном случае достаточно.
Потребует логин и пароль
Мне, как разработчику, это кажется настолько очевидным...
не сразу понял, что есть заковиристый рюсски слёво "расшаривать...."
От слова "шарищи"!
От слова "шарищи"!
не сразу понял, что есть заковиристый рюсски слёво "расшаривать...." От слова "шарищи"!
Похожие проблемы со словом "удалённый", из-за которого не всегда поймешь, "удалённые файлы" - это "deleted" или "remote"? Иной раз думается, лучше бы "ремовед" написали, оно понятнее.
"Поделиться" вероятно подходит нормально по смыслу.
Но лично я расшаривал, расшариваю и буду расшаривать. А борцы за чистоту языка идут лесом. 😄
Но лично я расшаривал, расшариваю и буду расшаривать. А борцы за чистоту языка идут лесом. 😄
ремовед
медвед
Но лично я расшаривал, расшариваю и буду расшаривать.
сделать нечто доступным для того, чтобы по нему всякие личности шарили своими "ручонками"
Ну это когда "Мы делили апельсин. Много наших полягло" )
"Стёртые" же!
remote же
Вы тоже как removed прочли?
Вы тоже как removed прочли?
"удалённые файлы" - это "deleted" или "remote"?
Слово "стёртые" как-то не прижилось.
Та же фигня со словом "application". По английски - понятно, по русски, "приложение", как-то привычно, хотя тоже, если подумать, так себе перевод, а вот украинское "додаток" меня убивает до сих пор.
UPD: По идее, application должно было стать заимствованным словом, как "процессор", "принтер", "файл", "компьютер", "чип" и т.д. и т.п, но не стало. Жаль.
UPD: По идее, application должно было стать заимствованным словом, как "процессор", "принтер", "файл", "компьютер", "чип" и т.д. и т.п, но не стало. Жаль.
UPD: По идее, application должно было стать заимствованным словом, как "процессор", "принтер", "файл", "компьютер", "чип" и т.д. и т.п, но не стало.
а вот украинское "додаток" меня убивает до сих пор.
"Приложение" может быть как "добавлением" (к договору, книге, например), так и "применением" ("приложение силы", "прикладной", например). Первое переводится на украинский как "додаток", второе - как "застосування". Но "приложение" в смысле "прикладная программа" - это именно второе, а не первое значение!
В отделениях "Новой почты" спрашивают: "У вас є наш застосунок?" Вот "застосунок" - хорошо, а "додаток" - это в локализации Windows установившаяся лажа.
Слово "аппликуха" сам часто использую, может когда-нибудь и войдет в обиход. Вряд ли в таком уничижительном виде, но вот какое-нибудь "аппа" - возможно.
Ну что, запомните этот твит, через сотню лет встретимся? 😄
PS: Ух ты, смайлики включили, а я сразу и не обратил внимания.
Ну что, запомните этот твит, через сотню лет встретимся? 😄
PS: Ух ты, смайлики включили, а я сразу и не обратил внимания.
Вот "застосунок" - хорошо, а "додаток" - это в локализации Windows установившаяся лажа.
Кстати, на НП мне подобный вопрос ни разу не задавали, даже не знал, что у них своя прикладуха* есть.
* И такой вариант существовал в далекой древности.
слово "раздать" означает самому отказаться от имущества
даже не знал, что у них своя прикладуха* есть.
В лесу раздавался WiFi дровосека...
UPD: По идее, application должно было стать заимствованным словом, как "процессор", "принтер", "файл", "компьютер", "чип" и т.д. и т.п, но не стало. Жаль.
"Приложеньице запускается".
Еще знаю, что практически все исковерканые слова в русском есть в обычном виде в других славянских. Я как-то на уроке употребил слово "наступ"; мне казалось, что такое слово есть. Потом долго препирался с училкой, которая говорила, что такого слова нет, и класс меня потом долго этим словом дразнил. Потом оказалось, что слово есть в чешском, его говорят в метро, в смысле "завершайте посадку".
Слово "аппликуха" сам часто использую, может когда-нибудь и войдет в обиход. Вряд ли в таком уничижительном виде, но вот какое-нибудь "аппа" - возможно.Ну что, запомните этот твит, через сотню лет встретимся? ?PS: Ух ты, смайлики включили, а я сразу и не обратил внимания.
Потом оказалось, что слово есть в чешском, его говорят в метро, в смысле "завершайте посадку".
P.S. "Приложеньице" — вполне официальный термин в локализованной WfW:
habr.com
"Приложеньице запускается".всегда хотел в винде получить доступ к "сообщеньицам" и их модифицировать. Типа "Злоебучая винда упала. Сорян, надо рестартовать". По-моему в старом ДОСе они были прописаны прямым текстом, а теперь, вроде нет.Еще знаю, что практически все исковерканые слова в русском есть в обычном виде в других славянских. Я как-то на уроке употребил слово "наступ"; мне казалось, что такое слово есть. Потом долго препирался с училкой, которая говорила, что такого слова нет, и класс меня потом долго этим словом дразнил. Потом оказалось, что слово есть в чешском, его говорят в метро, в смысле "завершайте посадку".
В украинском "наступ" - наступление.
Как вообще возможна реализация автоматического перевода, тяжело и представить.
А что значит расшаривать ?
"Windows для рабочих"
AAAAAA!!One!11
AAAAAA!!One!11
А что значит расшаривать ?
Как вообще возможна реализация автоматического перевода, тяжело и представить.
Поэтому никогда, ни при каких условиях, не делайте "ща, я расшарю интернет"
Лучше б дальше он вино попивал, а не глупости писал. Дырищу он обнаружил.
Его не смущает, что раздавая кому попало интернет без пароля на WiFi, можно и статью УК схлопотать. Выложат например на сайт Бессмерного полка, фото запрещенной личности и всё, приехали. Проблема авторизации в Билайне чепухой покажется.
Его не смущает, что раздавая кому попало интернет без пароля на WiFi, можно и статью УК схлопотать. Выложат например на сайт Бессмерного полка, фото запрещенной личности и всё, приехали. Проблема авторизации в Билайне чепухой покажется.
Его не смущает, что раздавая кому попало интернет без пароля на WiFi
Ну надо смотреть на тариф. У оператора на другом конце идентификация симки, трафик с нее, далее проблемы владельца.
Такая спорная авторизация сделана явно намеренно, по различным причинам. (не знаю каким)
Говорить, что это уязвимость - слишком уж через чур.
Говорить, что это уязвимость - слишком уж через чур.
где сказано, что он кому попало раздает Интернет без пароля?
Такая спорная авторизация сделана явно намеренно, по различным причинам. (не знаю каким)
Говорить, что это уязвимость - слишком уж через чур.
Такая спорная авторизация сделана явно намеренно, по различным причинам. (не знаю каким)Говорить, что это уязвимость - слишком уж через чур.
Нет, ну реально... как можно подключится к расшаренной точке, не зная пароль? Если я дал пароль, то уж, наверно, знаю, что этот человек не станет меня хакать. Чепуха какая-то...
Кстати, о Билайне. Это читали?
Кстати, о Билайне. Это читали?
Я такой матери подключил чисто для ватсап. Только его в тарифе включил, чтобы фото слать, разговаривать и видео. Безлимит за 5 р в день. А для других случаев у неё мтс
Это читали?
дали персональный тариф - 135 руб. с безлимитом
Не так все радужно - МТС режет скорость на безлимитном интернете, особенно после того, как пораздаешь... Бьюсь с ними, обещают типа решить, но воз пока и ныне там. В телефоне стоит ещё одна симка МТС с лимитным тарифом, на нем скорость выше минимум в 2 раза безлимитного, Билайн раз в 5 быстрее (скорее всего намного меньше юзеров на одной БС, у нас Билайн сильно непопулярен). С Z выйдет сравнимые затраты с моим трафиком и звонками. Если достанет - перейду таки ..
Безлимит за 5 р в день
Однако... ну, расшаривание можно замаскировать. Я вот на симке торренты качаю, хотя это не разрешено оператором 😃
У них 1 ГБ стоит 8 руб
И 5 руб. в день - это безлимит на WhatsApp. Полный безлим = 20 руб в день (Москва)
я в Нижнем. Жалуюсь, что МТС лимитные 20ГБ плачу 220 рублей. Было 200.
С Билайном сможете платить 330руб. в месяц за полный безлимит. На тарифе Связь Z 11руб. в день он стоит в Нижнем Новгороде. Был бы сигнал хороший.
Давно подумываю о том, чтобы начать процесс перехода к другому оператору, чтобы получить заманчивое предложение от нынешнего... всё как-то недосуг )))
Так что далеко не всем предлагают какие-то специальные условия, чтобы остался...
смысл? Я больше 10ГБ не трачу. Даже Wifi никогда не включаю
И 5 руб. в день - это безлимит на WhatsApp.
МТС лимитные 20ГБ плачу 220 рублей. Было 200.
10ГБ в месяц, как вы тратите - 80 рублей ..
а на связь и пр, она ж тоже нужна.
Может в регионе где то? В Москве минимум надо купить 10гб и они стоят 350р. Явно не 8р Гб выходит.
Да, у вас в два с лишним раза дешевле
На точку доступа WiFi пароль надо ставить, чтобы кто попало не подключался.
Ерунда какая-то. "Мой Билайн" привязывается к номеру телефона.
Я несколько лет пользуюсь телефоном, как точкой доступа. У жены открывается свой аккаунт в приложении, у меня свой, через какой бы телефон не подключались.
Правда, это "Билайн.Казахстан", может быть в российском все совершенно по-другому?
Я несколько лет пользуюсь телефоном, как точкой доступа. У жены открывается свой аккаунт в приложении, у меня свой, через какой бы телефон не подключались.
Правда, это "Билайн.Казахстан", может быть в российском все совершенно по-другому?
В приложении (у МТС так) можно выбрать другой номер. И он автоматом определяется по рабочей симке с активным интернетом провайдера.
Надо попробовать.
Попробовал. Ожидаемо, оказалось ерундой.
Билайн отправляет код авторизации по СМС на подключаемый номер.
Билайн отправляет код авторизации по СМС на подключаемый номер.
А как у остальных операторов?
А как у остальных операторов?
Да примерно так же. Если один раз авторизовался то и тек кто подключен к телефону по wi-fi пустит
у мегафона так работает (работало раньше точно)
Теги
Информация
Что ещё почитать
Сад и музей Уинтертур в Делавэре
13.08.2024
23
Умеющие привычки пользовательских текстов
18.10.2024
128
Обзор бюджетных умных часов Filwans GTS
23.10.2024
49
