По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр и сменить его можно только на другой подобный пароль. Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.
Открытие побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. Хакер отметил, что это удалось сделать наудачу — адрес для хранения оказался стандартным — и архив до сих пор хранится в открытом доступе. В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «Мегафона» паролей, используя которые хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.
Так, w0rm удалось попасть в систему администрирования домена megafon.mobi («Мегафон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «Мегафона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании. Также несанкционированный доступ был получен к документации на сайте HFLabs, в которой разработчики «Мегафона» обсуждают создание системы по актуализации базы данных абонентов.
В «Яндексе» сообщили TJ, что виджеты «Мегафона» уже более полугода не отображаются на главной странице и отметили, что их приложение не содержит уязвомостей. Как пояснил w0rm, он использовал устаревший, но работающий метод авторизации через виджет «Яндекса» для уральского филиала «Мегафона», найденный через поисковую систему. Хакер заявил, что публично обращался к представителям оператора, но они не отреагировали на сообщение об уязвимости. Представители оператора заявляют, что не зафиксировали случаев несанкционированного доступа, но проводят дополнительную проверку по фактам сообщений в соцсетях.
Хакер w0rm, который также действует под псевдонимами Rev0lver и Hash, известен как «хакер-невидимка». Ранее он успешно атаковал сайты The Wall Street Journal и Vice Media, пытался взломать серверы BBC. Представители многих атакованных w0rm сайтов не находят следов проникновения, в тоже время хакер выкладывает скриншоты, доказывающие факт взлома ресурсов. По словам самого w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по информационной безопасности к ошибкам в ПО.
