Как сообщает автор блога на habrahabr под псевдонимом Андрей Корыткин, в безопасности Мегафона существует уязвимость, которая позволяет взламвать счета клиентов и похищать у них финансовые средства. Представители компании были уведомлены о проблеме, однако не исправили ее.
Мегафон предоставляет своим клиентам службу "СервисГид", посредством которой можно управлять услугами компании, подключать тарифы и настраивать уведомления без участия оператора. Вход на сайт "СервисГида" предусматривает ввод капчи, которая препятствует взлому через подбор пароля. Однако капча иногда слишком сложная и некоторые пользователи предпочитают использовать портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей и требует учетных данных от "СервисГида".
Сайт-дублер позволял мошенникам подобрать пароли от "СервисГида" и получить доступ к учетным записям пользователей, в частности, к чтению входящих SMS и их отправке. Вследствие злоумышленники подписывали клиентов на платные сервисы и получали агентские проценты от Мегафона за списанные деньги со счетов по платной подписке.
Пользователям советуют использовать более сложные пароли для входа в "СервисГид", а также заблокировать применение любых платных сервисов или подписок, списывание денег с коротких номеров при помощи услуги "Стоп-контент".
