Сказ о том, как Билайн относится к безопасности своих сервисов

Билайн

Информационная безопасность — мое хобби. К сожалению, пока не могу сказать об этом большего. Я не зарабатываю этим на хлеб, нет, я просто исследую то, что мне попадается.

Летней ночью 2015 года, где-то в 4 утра, я как обычно думал о жизни. Внезапно на меня упала мысль: «В реальном мире, где нет биткойнов, никто не отслеживает деньги, все отслеживают только суммы переданных денег». Эта мысль натолкнула меня на очень многое, но в первую очередь — на бонусную программу Билайн.

Небольшое отступление. Бонусная программа от Билайн «Счастливое время» до октября 2015 года работала по следующей схеме:

1) Вы пополняете счет;
2) Получаете до 15% от суммы пополнения как «бонусные рубли»;
3) В следующем месяце можете потратить «бонусные рубли» на многие услуги хотя бы продление пакета интернета. Что в принципе звучит очень заманчиво.

Собственно идея, возникшая у меня в голове, была довольно проста: можно прогонять одни и те же деньги через счет Билайн, получая за это бонусы. Как решение на глаза мне попалось приложение «QIWI кошелек». Есть множество способов пополнения QIWI кошелька, один из таких способов — со счета мобильного телефона. Пойдя на встречу людям, Билайн убрал комиссию за пополнение QIWI кошелька. Думаю, вы уже догадались, что было дальше.

Готовая схема получилась достаточно простой:

1) Пополняем Билайн на любую сумму (осторожно с лимитами);
2) Переводим средства на счет QIWI без комиссии;
3) Пополняем Билайн со счета QIWI без комиссии;
4) Повторяем пока не надоест, оставляя себе бонусные рубли и деньги на QIWI кошельке.

Вышло довольно изящно и просто. А что главное — совершенно бесплатно для пользователя.

Как помешанный на своем человек, нашедший брешь в логике системы, я стал думать: как можно было бы её избежать? Как можно было бы исправить это со стороны Билайн? Спустя минут 30 размышлений пришел ответ: никак! Им придется полностью менять условия бонусной программы. На моем лице в районе 6 часов утра появилась зловещая улыбка.

Так как я являюсь постоянным клиентом этого оператора, я решил помочь ему — эдакий альтруизм, — зарепортив баг в саппорт Билайна. Спустя сутки мне пришел ответ, в котором меня поблагодарили за сообщение о бреши и в благодарность начислили мне на счет «200 бонусных рублей». Не трудно догадаться, что к моменту их ответа, я уже поэкспериментировал на лимиты. 200 бонусных рублей, начисленные мне, не значили для меня ровным счетом ничего. Хорошо, подумал я, ну хоть спасибо сказали. На мой намек о том, что 200 бонусных рублей — это странно за баг о накрутке бонусных рублей — мне ответили, что они уже занимаются проблемой, попросив меня не переживать о Билайн так сильно.

Мораль поста: Я не обвиняю Билайн в жлобстве или чем-то еще, так как они ничего никому не должны. Тем не менее, мне удалось получить примерную шкалу стоимости брешей.

Подтверждено:

1) Баг с бесконечной накруткой бонусных рублей (интернета) — 200 бонусных рублей;

Мои догадки:

2) Взлом сайта компании — 400 бонусных рублей;
3) Слив данных всех клиентов — 500 бонусных рублей.

Помогать данному мобильному оператору с закрытием брешей или не помогать — выбор каждого, и дело не в награде. В моем случае я обязательно помогу им снова, если они хотя бы прислушаются к моим тикетам о зоне покрытия. К сожалению, этого пока не произошло. Но даже несмотря на это, Билайн был и остается лучшим оператором в моем городе, уходить мне от него некуда, остается только ждать.

P.S.: Билайн уже изменил условия бонусной программы. Баг закрыт.
Поделиться публикацией
Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

Зачем оно вам?
Реклама
Комментарии 34
  • +1
    Возможно, они уже были в курсе ваших «экспериментов»? Или репорт был анонимный?
    • 0
      Репорт не анонимный, но он был спустя примерно день после обнаружения. Плюс суммы были незначительные, они не могли быть в курсе.
      • 0
        они не могли быть в курсе.

        Забавно, у вас есть какой-то инсайд из пчелайна? :)

        Вообще, они вполне себе могли знать об этом баге, не вы же один такой хитрый. Просто ущерб от него мог быть оценен невысоко. По предварительным расчетам «на коленке» с 1000 рублей можно получить еще порядка 180 (на самом деле — чуть меньше) накрученных денег, если загонять все бонусные рубли, т.е. не больше 20% от исходной суммы. Если возможность реализации была признана невысокой — ущерб был признан небольшим. Каких-то подробностей от меня не ждите — у меня инсайда тем более нет.
    • +17
      Бедненько как-то. Я бы за подобный баг хотя бы год какого-нибудь топового безлимитного тарифа оплатил.
      • –2
        Только первому или каждому зарепортившему или только тем у кого аккаунты на хабре есть?
      • 0
        В сети давно гуляет эта уязвимость, еще с год назад встречал упоминания.
        • –1
          В свое время беглый гуглеж не дал мне ничего конкретного. Если усердно искать, не исключаю, что можно найти. В любом случае о баге если и знали, то знали единицы, и скорее всего просто поторговывали бонусами.
          • 0
            Тык, на первой же страницы есть результаты об этом баге, датированные еще весной 2015 года
            • 0
              Возможно у меня гугл персонализировал выдачу. В выдаче что то похожее действительно есть. Идея та же, согласен. Но все так или иначе платят комиссию, или выпускают карту Beeline World. Кроме темы с билетами РЖД, но она тоже не самая удобная.
        • 0
          Подобную схему можно провернуть и с какими-нибудь сервисами кешбека. Например возврат за покупки на алиекспресс. Нужно только договориться с продавцом, что он ничего не высылает, а через пару недель делает возврат денег.
          • +2
            Не выйдет, возврат денег за покупку — оформляется как отмена операции покупки, Вы просто cash back никакой за эту операцию не получите.
          • +1
            Мало над билайном поглумились по поводу их Big Data конкурса… теперь еще и их супер-промо-акции раскритиковали… бедный, бедный билайн ))
            • 0
              Простите, я пропустил. А можно пруф?
              • +1
                Присоединяюсь, где глум над Big Data?)
                • +3
                  DSL88 teamfighter

                  Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)

                  habrahabr.ru/post/269745
                  habrahabr.ru/post/269065
                • 0
                  Может у них на bug bounty деньги закончились?
                  Интересно было бы услышать комментарии официального представителя компании, да.
                  • +1
                    Наверное скажут что давно знали об этом баге и т.д. и т.д.
                  • 0
                    Не хватает самого интересного куска, как изменили условия бонусной программы?
                    • 0
                      По новым условиям платят за траты на услуги связи. Причем гвоздями прибито, что такое услуги связи. Т.е. контент провайдеры и т.п. не считаются услугами связи.
                      • +1
                        Так это вырождается в обычную скидку с тарифа?
                        • +3
                          Мне вот интересно — почему о принципиальном изменении условий программы, в которой я участвую, я узнаю через комментарий на Хабре, а не через смс от оператора?
                          • +2
                            Может потому что у них корпоративный девиз «во многие знания многие печали»?:)
                      • +1
                        прислушаются к моим тикетам о зоне покрытия
                        Когда это случится — сообщите, а то мегафон и мтс игнорируют их абсолютно — перейду на Билайн.
                        • +4
                          Так это из-за вас условия программы поменяли! :)
                          Я пользуясь этой дырой, уже год за мобильный интернет и звонки не плачу (точнее плачу, но бонусами).

                          Но я «накрутками» не занимался. Просто платил с мобильного счета Билайн за квартиру через ruru. Комиссий там нет, ежемесячно платежей проходит примерно на 10000 руб = 1500 бонусов.
                          Но все хорошее когда-нибудь кончается…
                          • 0
                            Возможно и не из за меня, но я точно внес свой вклад в это) Мои извинения тем, кто знал про баг.
                          • 0
                            Вторую половину статьи про жлобство писал жлоб. Заплатив бонусами за дырку в бонусах они просто пошутили.
                            • +1
                              Вся безопасность Билайна начинается и кончается только на бумаге. Ну и, может быть, ещё в бесполезных конкурсах для специалистов. А по факту остаётся чистейшей профанацией.
                              Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
                              • 0
                                Как вариант, это могло быть «ханипотом» — они знали, что есть такой вариант накрутки и могли видеть, кто им пользуется. Вряд ли таких людей было много, но они могли за ними присматривать внимательнее.
                                • 0
                                  Продолжая тему теории заговоров… Более вероятно что эта статья — реклама билайна, суть которой показать что билайн, обнаружив баг, может за 1 день изменить всю свою бизнес модель. Еще можно усугубить, предположив, что они сидели с готовым решением с первого дня и ждали этого момента, чтобы так красиво себя показать. Вряд ли все люди, которые хоть что-то понимают в арифметике, находятся за пределами компании.
                                  • 0
                                    Ага, и даже готовы (о ужас!) заплатить за репорт о дырке целых 200 рублей!
                                • 0
                                  Это не баг, а фича ;-)
                                  Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
                                  • 0
                                    Стандартное решение для всех подобных программ лояльности — ограничение по сумме бонусов, которые можно получить в месяц (т.е. да, схему с киви они бы не закрыли, но смысла в ней было бы уже мало). Странно, что Билайн, внедряя программу лояльности, не учел подобные схемы.
                                    • +1
                                      Если бы вы не написали, мы бы и дальше продолжали пользоваться..(
                                      А теперь бонусы начисляют только за потраченные на связь средства.
                                      Но есть ЦМ бонус, но правда, не для всех;)
                                      С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
                                      • –2
                                        Мда. Ну автор и… лопух, извините за откровенность.
                                        А профит он получил большой. Попав за счёт этой заметки на хаброресурсы. Так что обижаться грех. Не, конечно приятно сразу на два стула сесть, запостив в песочницу материальчик после получения кругленькой суммы, но жизнь такая штука, что не всегда одаривает по максимуму и радоваться надо минимуму.
                                        (осторожно с лимитами)
                                        Ну хоть баги по части лимитов не обнаружили, и на том спасибо :D

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.