Брешь в системе безопасности web-сайта Airtel позволила многим пользователям обходить страничку оплаты и пополнять свои учётные записи пользователя платформы платного DTH-телевидения на суммы в тысячи рупий.
Проблема была обнаружена благодаря Facebook-страничке «Saad Pool King», создатели которой предлагали возможность пополнения учётной записи на DTH-платформе на сумму в 10 000 рупий всего за 2 000 рупий. Лица, воспользовавшиеся данным нелегальным методом, выплачивали упомянутую выше сумму через Paytm и UPI.
Entrackr получил подтверждение данных фактов от нескольких различных пользователей сайта.
Редакция издания также общалась с пользователями, пополнявшими свои учётные записи на Airtel DTH, используя уязвимость сайта напрямую.
Под сообщением на Facebook с рекламой данной «услуги» можно было прочесть множество различных положительных комментариев от лиц, желавших ею воспользоваться. Впрочем, некоторые посетители странички высказывали сомнение в данной затее, а также опасались, не дойдёт ли информация об этом до Airtel.
На страничке также объяснялось, что она использует Burp Suite – графический инструмент для проверки безопасности web-приложений.
Если учесть количество пользователей, воспользовавшихся данной уязвимостью, можно предположить, что общая сумма таких пополнений достигла отметки в десятки миллионов рупий.
Впрочем, служба «бесплатного пополнения» учётных записей более не работает. Также и страничка на Facebook перестала отвечать на запросы пользователей.
Это уже не первый случай, когда компания становится жертвой подобной уязвимости и теряет миллионы.
В 2015 году произошла подобная ситуация, когда уязвимость в системе безопасности службы Ola Cabs из индийского города Бенгалуру позволила хакерам получить возможность кататься в кэбах бесплатно неограниченное количество раз.
В прошлом году индийский инженер систем безопасности указал компании Uber на брешь в системе безопасности, которая могла потенциально быть использована для регистрации бесплатных заказов такси. В свою очередь, Uber выплатил этому «белому хакеру» 5 000 долларов за своевременное предупреждение.
