2017-11-01
1766
Всем хорошо известен номер «Евгения Вольнова» +79019043090. Пробив его через базу данных Роскомцензуры, я выяснил, что он относится к VoIP сервису «Задарма». Теперь, вскрытие этого номера было довольно важно, так как люди, использующие VoIP из-за её фактически нулевой себестоимости, довольно активно используют её и в своей повседневной жизни: звонки друзьям, родственникам, родителям, на работу и так далее.
Зайдя на этот сервис и зарегистрировав там тестовую учётную запись я обнаружил подпрограммы сервиса, которые имеют следующую функциональность:
1. Детализация исходящих вызовов за весь период использования номера;
2. Детализация СМС сообщений, так же за весь период времени, целиком, как входящие, так и исходящие;
3. Текущее соединение (IP адрес и декларируемое название программного обеспечения) и вся регистрационная информация, включая и привязанные сотовые телефоны к учётным записям;
4. Возможность включить запись телефонных разговоров с отправкой их на e-mail;
5. Возможность просматривать информацию о своих электронных кошельках, функция в общем то скрыта, но сообразительные её найдут.
|
|
|
Все это доступно любому владельцу учётной записи, значит тоже самое есть и у «Евгения Вольнова». Пришло время взломать сервис и проникнуть в его учётную запись. Я провёл «аудит безопасности сайта» который выявил наличие нескольких XSS уязвимостей, одна их которых была особенно перспективной — активная XSS в поле смс сообщения.
Учитывая тот факт, что сессии в «задарме» не сопоставляются с IP адресом клиента, утащив авторизационные печенья можно легко было под ними авторизироваться и войти в учётную запись под этим пользователем.
Для этого «Евгению Вольнову» я отправил «ядовитую» смс с эксплоитом, прочитав которую, его печенье(cookie) отправилось ко мне на скрипт. Соответственно, печенье было скопировано после чего я успешно зашёл в его «личный кабинет». Несколько скриншотов:
Всплывают интересные подробности, его примари-email привязанный к учётной записи задармы: ya@ebal.ee, вбив его в восстановлении пароля «вконтакте», получаем страничку к которой он привязан: http://vk.com/fatal_anal это страница одного из администраторов крамольной и ныне закрытой группы «детская мода» «вконтакте». UPD: сейчас емейл у этой учетной записи заменен на: pavel@zhovner.com
К данной учётной записи «вконтакте» помимо одного из email адресов «Евгения Вольнова», закреплен ещё и сотовый телефон: +380986506942 сотовый Павла Жовнера, давно уже ставший достоянием общественности во время его деанонимизации.
Думаю эта информация будет интересной многочисленным борцам с педофилами.
|
|
|
Следом изучена его СМС детализация, ничего интересного найдено не было, кроме момента, что на номер зарегистрировано большое количество учётных записей «вконтакте», хотя известно, что на один номер нельзя зарегистрировать более одной учётной записи. Однако, добиться такого эффекта можно переадресовав СМС сообщения с разных номеров на какой-то один, а далее — массовая регистрация.1)
Так была слита вся детализация звонков, вся информация из кабинета, привязанный сотовый, логины, пароли (пароли для SIP аккаунтов в открытом виде), детализация СМС текста, электронные кошельки, с которых пополнялся баланс. Любая, даже самая мелкая, деталь может оказаться решающей в деле деанонимизации.
Далее, используя функцию «задармы» «виртуальная АТС», я поставил его SIP учётную запись на прослушивание. Все входящие звонки на его виртуальный номер записывались и отсылались на мой e-mail. Однако, удовольствие длилось не долго, через пару дней он заметил это и немедленно написал в службу технической поддержки.
Самое важное — это его детализация звонков за весь период использования учётной записи. Детализация исследовалась, все номера (особенно украинские) были загуглены, а так же пробивались «вконтакте» на предмет связи с «Евгением Вольновым». Особенно важными для исследования номерами были номера с кодом 0472 – Черкассы, город его проживания.
Один номер привлек внимание:
19946564;47633;2013-07-06 18:43:49;79019043090;380472505850;UKRAINE;answered;60;0.0720;0.0720
Погуглив номер, находим: пиццерия «Пармезан» в городе Черкассы. Из переписки Ольги Стельмах и IP «Евгения Вольнова» известно, что Черкассы — его текущий город проживания, хотя, скорее всего, в нём он живёт на съёмной квартире, как уже писала Стельмах....
