Оффтоп Andrey Frolov
9 615

Маркетинговый сервис для заведений Smart Wi-Fi обвинили в краже паролей пользователей

Пользователи сервиса Smart Wi-Fi, который предоставляет заведениям возможность давать посетителям доступ к беспроводной сети в обмен на размещение записи в соцсетях, обвинили компанию в краже паролей от своих аккаунтов. Представители сервиса называют обвинения клеветой, а опрошенные ЦП эксперты разошлись во мнениях.

Обвинения против Smart Wi-Fi появились в сети 24 марта в комментариях на странице бывшего директора по продукту компании Алексея Верютина, который объявил о прекращении сотрудничества с сервисом. Пользователи прислали ему ссылки на видео с описанием технологии, с помощью которой компания якобы похищает пароли клиентов заведений через подставной сайт.

В ролике показано, как два пользователя подключаются к сети заведения и заходят в браузер, в котором открывается страница на домене smart-wifi-cloud.com. На странице присутствует логотип Smart Wi-Fi и предложение авторизоваться через «ВКонтакте». Авторы ролика обращают внимание, что на странице авторизации домен не меняется.

В комментариях Верютин объясняет, что техподдержка «ВКонтакте» заблокировала приложение Smart Wi-Fi после акции с «сисюлями», из-за чего теперь сервису приходится использовать фишинговые страницы для продолжения работы. «Именно такой подход в создании продукта и побудил меня уйти из команды», — добавил он.

Гендиректор Smart Wi-Fi Тимур Аблязов пояснил ЦП, что Верютин после успешной рекламной акции стал претендовать на долю в проекте и, получив отказ, создал свой аналогичный проект:


Тимур Аблязовгенеральный директор Smart Wi-Fi

Алексей действительно работал с нами в качестве директора по продукту. В частности, именно его идеей было провести акцию на Digitale и публиковать вторую запись на стенах пользователей. После проведения акции популярность Smart Wi-Fi выросла, и Алексей стал претендовать на долю в проекте. После того, как его предложение было отклонено, он стал реализовывать свою идею о продаже франшиз. По сути, изначально представители в регионах покупали возможность работы именно с роутерами Smart Wi-Fi. Так как мы не поддержали идею продажи франшиз в регионах, Алексей вышел из проекта и создал аналогичный продукт, с которым и стали работать покупатели франшиз, которые уже перевели ему деньги.

Ролики с «воровством» паролей Аблязов назвал провокацией, так как, по его мнению, на них нет никаких доказательств похищения данных от аккаунтов:

Данные видео сняты сотрудниками компании-конкурента и являются провокацией. На видео демонстрируется процесс авторизации, озвучивается обвинение в том, что Smart Wi-Fi ворует пароли пользователей, несмотря на то, что на видео нет доказательств этого. На данный момент подключение к интернету в заведениях наших клиентов максимально безопасно. Надежность нашей системы проверяется в том числе техническими специалистами наших клиентов — безопасность пользователей в особенности волнует крупные и сетевые проекты, которых сейчас становится все больше. И обвинения в том, что Smart Wi-Fi якобы ворует пароли пользователей, не имеют под собой обоснований и являются, по сути, клеветой.

Верютин при этом утверждает, что Аблязов даже не подозревает о каких-либо проблемах со стороны сервиса. По его словам, гендиректору компании «разработчики вешают лапшу на уши».

Основатель компании по мониторингу и защите веб-сайтов SiteSecure Максим Лагутин отмечает, что указанная в ролике страница действительно похожа на фишинговую и создана с нарушениями законодательства. Однако он не уверен, что Smart Wi-Fi практикует хищение пользовательских данных:


Максим Лагутиноснователь и генеральный директор SiteSecure

Если оценивать процесс подключения к Wi-Fi, показанный в ролике, то складывается ощущение, что при авторизации человек попадает на фишинговую страницу, целью которой является воровство паролей аккаунта во «ВКонтакте». На это наводит пять факторов:

1. Домен, отличный от основного доменного имени Smart Wi-Fi.

2. Отсутствие публичной оферты согласия на обработку персональных данных, политики конфиденциальности или любой другой информации, подтверждающей правомерности использования данных пользователя согласно 152-ФЗ «О персональных данных», что ведет к явному нарушению действующего законодательства.

3. Отсутствие атрибутов защиты информации на сайте, таких как SSL-сертификат и знаков защиты сайта (знак SiteSecure.ru или McAfee).

4. Явная схожесть страниц авторизации со страницами социальной сети «ВКонтакте».

5. Сохранение введенного пароля (так часто поступают настоящие фишинговые сайты).

Вряд ли цель Smart Wifi воровать пароли, но реализация заставляет подумать именно об этом. Реализация авторизации не только не соответствует принятому законодательству и стандартным практикам, но и может привести к включению домена, на котором происходит авторизация, в список фишинговых сайтов, из-за чего он будет блокироваться поисковыми системами, антивирусами и браузерами на мобильных устройствах.

Совета владельцам Smart Wi-Fi два:

1. Привести страницу авторизации в соответствие с законодательством в сфере персональных данных.

2. Подключить сайт к мониторингу безопасности, чтобы вовремя узнавать, если сайт будет внесен в тот или иной список как фишинговый.

Менеджер по продукту компании «Код Безопасности» Александр Немошкалов допустил, что фишингом могут заниматься злоумышленники, которые получили доступ к роутеру:


Александр НемошкаловМенеджер по продукту компании «Код Безопасности»

Точка доступа Wi-Fi — это, по сути, компьютер со своей операционной системой, как правило, на основе ядра Linux. Любая ОС содержит в себе массу как широко известных, так и не исследованных на сегодня уязвимостей. Используя их, злоумышленник может внедрить вредоносный код в точку доступа и при подключении будет происходить автоматическое заражение подключенного устройства трояном, который и сворует необходимую информацию. Этим может заниматься кто угодно при наличии должной квалификации.

Специалист по инфобезопасности Владимир Безмалый порекомендовал в принципе реже пользоваться открытыми сетями и использовать двухэтапную аутентификацию.


Владимир БезмалыйMicrosoft Security Trusted Advisor, Microsoft Most Valuable Professional Consumer Security c 2006 года

Пользователям давно пора привыкнуть что в данном мире ничего не бывает бесплатным. Давно пора использовать двухэтапную аутентификацию, а уж если использовать бесплатные сети, то пользоваться одноразовыми паролями. Для пользователей, которые хранят свою почту на серверах Microsoft, это доступно уже, если не ошибаюсь, пару лет. Если же вы пользуетесь социальными сетями — делайте свою аутентификацию также двухэтапной. Это поддерживает и Facebook и Linkedin. И вообще пора привыкнуть, что если вам что-то дают бесплатно, то нужно дважды подумать, хватит ли денег расплатиться.

#Digitale #сисюли #Smart_Wi_Fi #Тимур_Аблязов #сервис_для_маркетинга #пароли_от_соцсетей

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u0442\u0438\u043c\u0443\u0440_\u0430\u0431\u043b\u044f\u0437\u043e\u0432","\u0441\u0438\u0441\u044e\u043b\u0438","\u0441\u0435\u0440\u0432\u0438\u0441_\u0434\u043b\u044f_\u043c\u0430\u0440\u043a\u0435\u0442\u0438\u043d\u0433\u0430","\u043f\u0430\u0440\u043e\u043b\u0438_\u043e\u0442_\u0441\u043e\u0446\u0441\u0435\u0442\u0435\u0439","smart_wi_fi","digitale"], "comments": 19, "likes": 18, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 7428, "is_wide": true, "is_ugc": false, "date": "Fri, 27 Mar 2015 14:51:29 +0300" }
{ "id": 7428, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/7428\/get","add":"\/comments\/7428\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/7428"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

19 комментариев 19 комм.

Популярные

По порядку

Написать комментарий...
3

Ну дебильно же предоставлять бесплатную услугу для привлечения клиентов с дополнительной выгодой. Еще новый стартап сделайте - платные туалеты в пивных.

Ответить
3

Неплохая идея скажу я вам, пойду писать бизнес план.

Ответить
2

в слове "писать" где ударение?

Ответить
1

а были где-то не у нас салат-бары с безлимитной едой и напитками, где надо было заплатить только за вход. а туалет снаружи.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

3

ага, вот эти ребята

Пошёл делать куклу вуду в форме смарт-вайфай

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

2

Кстати, на http://smart-wifi-cloud.com до сих пор висит фейк http://88.214.236.210:3888/ , который открывается при подключении к вай фай через роутеры SmartWiFi.
Любой программист или человек разбирющийся в безопасности, поймет как у них всё хитро устроено.
Да и в сети заведений HardWok стоят чудо роутеры SmartWiFi, которые воруют ПАРОЛИ!!

Ответить
2

Игорь, у ВК есть ТОКЕН БЕЗ СРОКА ЖИЗНИ. НУЖНО ПОЛУЧИТЬ ВСЕГО ОДИН РАЗ. Читайте документации vkAPI.

Ответить

Комментарий удален

Комментарий удален

0

Все дружно читаем статью в WIKI про #токен Раздел 5)Уязвимости
Ссылка на статью ↓ ↓ ↓
https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BA%D0%B5%D0%BD_%28%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8%29#.D0.A3.D1.8F.D0.B7.D0.B2.D0.B8.D0.BC.D0.BE.D1.81.D1.82.D0.B8

Ответить
1

И к чему это?
Если у SmartWiFi фишинговая страница, Логин и Пароль передается открытом видом и ловится любым Снифером.
SmartWiFi сохраняют Логин и Пароль от аккаунта у себя в базе, потом подписывают на приложение SmartWiFi и получают ТОКЕН без лимита срока действия. И далее просто используется ТОКЕН внутри API BK о сервера SmartWiFi.

Ответить
0

Bменно это и написано в разделе 5)Уязвимости
Цитата:
"Любая система, которая позволяет пользователям аутентифицироваться через ненадежную сеть (например, Интернет) является уязвимой к атаке «человек посередине». MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную."
Особенно последнее предложение...
Вобщем, #facepalm

Ответить
0

Ой...насмешил)))
Тогда на почитай https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3
Всё внимательно.
Вобщем, #facepalm

Ответить
0

не пойму, в чём #facepalm ?
Эти инноваторы рискуют быть обвинены помимо классического фишинга
-в той же статье в WIKI что ты кинул раздел 3.3)
ещё и в сопутствующих хакерских методиках
Речь зашла про #токен, я и подкинул инфу о взломе и технологиях, как раз завязанных на токен, чтоб было кому-то понятнее может быть, а в статье про фишинг об этом ничего нет...

Ответить
1

Игорь, ты прав! SmartWiFi нашли только один выход из ситуации - standalone приложение.

Ответить
1

Ждал это от горе инфобизнесмена

Ответить
0

КОМАНДА НЕУДАЧНИКОВ

Ответить
0

"ворует пароли пользователей, несмотря на то, что на видео нет доказательств этого" - нихера себе, пароль проходит через сервера какой-то конторки, это значит нет доказательств?
А установка без ведома пользователя своего приложения это как называется?

Ответить

Комментарий удален

0

Хакеры неудачники как ВЫ SmartWiFi только такую шляпу и читаете :D:D)))

Ответить
0

Я конечно многое понимаю, но это сверх наглости и идиотизма.
Желаю Smart Wi-Fi обанкротиться.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления