В статті я пояснив, яким є логін у користувача Укртелекома. Тому використовуючи цей алгоритм ти можеш дізнатися свій логін чи іншого користувача .

Але з осені 2010 року в Укртелекомі змінили метод створення логінів, тому мій метод допоможе лише для логінів згенерованих раніше. Для нових логінів використовуються вже інші підходи. Якщо в тебе логін був зроблений вже по новій схемі, то ти можеш пошукати в своїх записах (якщо ти його записав), або подзвонити в тех. підтримку і дізнатися свій логін. А використовуючи соціальну інженерію через тех. підтримку будь-хто може вияснити логін будь-якого користувача Укртелекому.

Мій друг на днях підключився до Інтернет-послуги Укртелекому і я виявив, що нарешті логіни і паролі мають іншу форму - відмінну від вищезгаданого шаблону. Логін дещо змінився (тільки “@dsl.ukrtel.net” співпадає), а пароль - той самий номер телефону + ще одна цифра.

Тому, хоча це більш надійно ніж раніше, але все ще недостатньо. Бо при витоку логіна, можна буде легко підібрати пароль (номер телефону xxxxxxx + 10 комбінацій додаткової цифри).

УТ відреагує тільки тоді коли в них зявляться проблеми.

Схоже на те. Бо на проблеми своїх клієнтів (що пов’язані з послугою телефону, що з послугою доступу в Інтернет, що про витоки інформації - про всі ці випадки я вже писав) вони не реагують. Треба, щоб клієнти замислилися над подібним підходом компанії.

І може коли велика кількість клієнтів почне переживати за свою безпеку і змінить провайдера (або цим, або іншим методом натисне на УТ), то вони заворушаться і почнуть виправляти дірки. В тому числі й на своїх сайтах.

Доречі стосується не тільки мешканців Києва та області

Dementor

Якщо для користувачав Києвської області використовується префікс “kv_”, то тоді шаблон той самий, а якщо інший префікс - значить, дещо змінюється шаблон. Як я чітко написав в своєму записі - “в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама”. В даному випадку мається на увазі інший префікс.

В Укртелекомі явно використовуються єдині правила генерації логінів і паролів для всіх користучаів їхніх послуг (лише префікси змінюються для різних регіонів). А послугу “ОГО” з 2006 року компанія надає на всій території України.

Дірка не нова. Якщо я її знайшов в березні 2007 року, то враховуючи те, що вона існує увесь час роботи послуги “ОГО”, а згідно з інформацією ukrtelecom.ua послуга “ОГО” надається з осені 2005 року, то вона існує аж з осені 2005. Але вона й досі актуальна (тому що Укртелеком не хоче її виправляти). І дірка не буде старою, доки вона буде актуальною. А ця уразливість ще довго буде актуальною.