Разработчики «Диалог М» заявляли, что сервис безопасен.
Обновлено: Не следует путать «Диалог М» и корпоративный госмессенджер «Диалог» (ООО «Диалог»), который не имеет отношения к разработке «Крымтехнологий». Как пояснили TJ представители «Диалога», они сделали опровержение из-за «обилия неподтверждённой информации, которую распространяет ряд интернет-СМИ» и «журналистов, пренебрегающих проверкой фактов». Офисы «Диалога» располагаются в Москве и Петербурге. Этот мессенджер используют в госорганах — ведомствах и краевых администрациях.
15 апреля госкомпания «Крымтехнологии» начала открыто тестировать собственный мессенджер «Диалог М». Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram. В Крыму назвали «Диалог М» возможной альтернативой «подобным приложениям иностранных компаний» и отметили: «В плане конференции он будет даже получше, чем Telegram».
Я протестировал браузерную версию «Диалог М» и убедился, что он не так безопасен, как заявляли авторы. Любой аккаунт можно украсть за 3-4 минуты.
Заходим в форму авторизации и вбиваем произвольный номер.
После этого форма предлагает ввести код, пришедший на указанный номер. Если попытаться отправить код, то видно, что он проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx.
Оказывается, что этот URL можно «дёргать» как угодно часто, поэтому пишем простенькую функцию, которая подбирает четырёхзначный код.
Через короткое время код находится.
В моём случае код оказался 5817. Но, судя по всему, сам код одноразовый, так как повторный вызов https://im.krtech.ru/auth/3556666666666/5817 выдаёт ошибку, а, значит, залогиниться по нему уже не получится.
Однако в ответ на запрос вернулся токен, который, может быть, остался годен. Чтобы проверить его, идём в JS-код, и ищем, откуда происходит запрос на адрес https://im.krtech.ru/auth/...
Строка быстро отыскивается.
Ставим брейкпоинт и снова нажимаем на кнопку авторизации. Прослеживаем, как код исполняется дальше и попадаем в место, в котором обрабатывается ответ от сервера. Здесь подменяем ответ с ошибкой на токен, который до этого получили перебором.
Запускаем код дальше и оказываемся авторизованными. Можно даже написать кому-нибудь.
Всё то же самое можно сделать с номером уже зарегистрированного пользователя и, таким образом, «угнать» аккаунт.
Автор угнал аккаунт редактора TJ в «Диалог М» в качестве эксперимента и с его согласия, а также с надеждой на то, что разработчики исправятся. Лучше так не делать. Неправомерный доступ к компьютерной информации преследуется по закону.
я согласен, лучше не делать и не выпускать такой мессенджер
Хуже всего, что номер в форме нельзя вставить из буфера, только вбивать руками
За вами уже выехали
Комментарий недоступен
Ты неправильный Сергей Звезда. Правильный должен пуши ночью слать, а не деньги просить
то есть у меня одна функция? может, я ещё и симфонию не могу написать?
Комментарий недоступен
Скажи спасибо что не ККВПдОКС (Крымская компьютерная веб-программа для отправки коротких сообщений)
Название Диалог М отдает какой то тоталитарщиной. Типа Циклон Б и далее по списку.
ФМПОПДКГ "Доверие"
звучит, будто для регистрации нужно ввести не только номер телефона, но и паспортные данные, СНИЛС и ИНН
Хмм. У меня тётя недавно из США в гости в Питер приезжала. Была изумлена после 37 лет отсутствия обилию англоязычных названий компаний. Спрашивала, почему люди не называют фирмы по-русски.
При этом сама говорит на дикой смеси русского, английского и идиш.
Комментарий недоступен
Посаны, а я вот думаю, что если поверх какого-нибудь ТамТам прикрутить PGP и выпустить модифицированный клиент, назвав самым безопасным не заблокированным в России мессенджером? :)
Или тогда наложат ограничение на использование PGP в России просто, и будут уже юзеров отлавливать и сажать?
На бутылку
Хм. Я наконец решил пошутить про бутылку, ведь про нее шутят все, и мне захотелось понять, в чем удовольствие. Никакого удовольствия нет, лёгкий туман в голове и чувство стыда, я не понимаю зачем остальные этим занимаются
Ребят, если вы вдруг решили по примеру старших пацанов пошутить про бутылку - не надо! Нет в этом ничего "крутого", потом жалеть будете
PGP это polzovatel - grazhdanin nachalnik - polzovatel ?
После чего ФСБ обратится к тебе с просьбой добавить в клиент функцию передачи закрытых ключей на сервера фсб.
Уже есть Миранда (:
Комментарий недоступен
В Диалог-М прикрути pgp
Комментарий недоступен
Учусь на технической образовательной программе. Решения задач проверяет тестирующая система. Задача для языка C начинается со слов «Вашему процессу предоставляются права суперпользователя». Что делает рандомный студент? Правильно, вызывает rm -rf /* системным вызовом прямо из процесса. Тестирующая система падает (не знаю, по каким причинам, тестировщик не был засунут в контейнер), день не работает, к вечеру восстановили из бэкапа.
Что происходит со студентом? Его забанили в тестирующей системе (то есть он не имеет физической возможности сдавать домашние задания) до выяснения обстоятельств, а с самого начала пригрозили статьями УК, чтобы громко не кричал.
Не знаю, какая мораль, придумайте сами
Артем наш сотрудник из цеха Ильи и он угнал свой аккаунт тестовый, есть тут юристы, катит это на статью или нет?
В УК РСФСР? Навряд ли
Зловредные хацкеры живут, конечно, по законам
Не «за», а «на». Мы под ней сейчас общаемся
Такие вещи сперва нужно сообщать разработчикам. И только после исправления уязвимости публиковать статью. А так, только на уголовку нахайповали.
Вообще да, но этим проектом вряд ли кто-то всерьез пользуется сейчас, во-первых. То есть, для живого проекта это было бы важно, а тут я не думаю, что из-за этого произойдет что-то страшное.
Во-вторых, если он свой же аккаунт взломал, то уголовку ему будет сложно предъявить.
Чувствую себя Гагариным! Мне первому написали с первого взломанного аккаунта в Диалог-М
Может, это потому, что ты единственный пользователь Диалог-М на ТЖ?
Комментарий недоступен
А тамтамом кто нибудь пользовался? Как там?
Комментарий недоступен
Хотел щас установить ТамТам, решил почитать отзывы...
Разработчики в комментариях Google Play обещают добавить классы для оценки фото.
Нас на******(обманули), расходимся.
После того как я логинился туда-сюда в одной вкладке он глючить начал
эээ, с чего ты взял? Артём поменял имя моего аккаунта, когда получил к нему доступ. Я поменял обратно
Ну, теперь точно можно закапывать
ну они же не говорили для кого
Почти все комментарии про уголовную ответственность.
Получается, взломы аккаунтов, которые когда-либо происходили в ВК или любой другой социальной сети, тоже должны преследоваться по закону?
+ Не так давно публиковалась статья (не на TJ) об уязвимости в системе провайдера «МаксимТелеком», и там ни о чем таком речь не шла. Объясните, пожалуйста.
изи, получил несанкционированный к информации с гос сайта - до 10 лет тюрьмы
но это вроде не гос сайт, я ссылку не видел, поэтому до 5 лет
плюс врядли он делал это со своего ип, если одновренно с ним кто-то еще ломал веб приложение, то ему могут приписать и другие, успешно реализованные кем-то векторы атаки
например, брутил через тор и кто-то в это же время тоже брутил через тор
но я не юрист, считаю выкладывать статью риском, видимо отказали в баблишке или уж совсем туго на голову, что бы на тж этим пиариться
а еще только из-за репутационного ущерба на старте компании могут погонять его по прокуратуре
но сажают редко, пальчикам погрозят и отпускают, если первый раз попал по статье (читал в инете, сам не знаю)
Комментарий недоступен
Походу закроют тебя за это дело)
Комментарий недоступен
Крым наш!
Я сегодня решил хлебнуть гавна полной грудью