Если вы звоните в техническую поддержку МТС по номеру 0890 со своего мобильного телефона, МТС вас идентифицирует как абонента. Вы спокойно ведете диалог и решаете насущные вопросы.
Но мало кто знает, что у МТС есть и другой номер: 88002500890. Позвонить на который можно с ЛЮБОГО номера. Еще и бесплатно. И вот какая интересная история случилась.
Вообще впервые с этим багом я столкнулся в 2019 году. Схема такая. Если звонок поступает на 88 002 500 890 не с мобильного номера МТС, нужно было через IVR ввести серию и номер паспорта для идентификации. Я ввел номер паспорта — но специально с ошибкой. МТС меня все равно идентифицировал как абонента и «слил» все данные, относящиеся к тайне связи. Тогда я писал официальное обращение в МТС с просьбой устранить проблему. Ответа не последовало.
МТС, похоже, часть этого IVR устранил. Но не проблему. И стало все еще интереснее.
Теперь ЛЮБОЙ человек может позвонить на номер 88002500890, дождаться ответа оператора, назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.
Ребята в МТС, вы там не уху случайно ели?!!!
Как я это выяснил? Да я просто запарился ждать 3 дня ответа в чате поддержки на очередное незаконное списание денег. У вас там токены для ИИ закончились в вашем «ИИ‑чате» что ли? Вот и решил вас «побеспокоить» звонком. Но поскольку «проблемный» номер сейчас у другого пользователя, позвонить я с него не могу. Вот и набрал с рабочего. А тут такая красота выяснилась.
Если что — телефонный разговор с оператором был записан. Все доказательства могу представить лично руководителю/безопасникам МТС для осознания того, в какой «ситуации» оказалась Ваша компания. И какую угрозу для своих клиентов вы создали.
Вам не инновации и экосистемы нужно строить, а сделать минимальный аудит ваших бизнес-процессов и клиентской поддержки.
Вообще борьба в формате «удобно/безопасно» — вечная. Похоже, в современном мире большие корпорации выбирают первое, а не второе. Что крайне опасно.
Надеюсь, этот пост МТС увидит раньше, чем мошенники.
Комментарии (181)
ivankudryavtsev
09.09.2025 07:54Господа, вы в 2025м году, ну какие тайны?)
bk99
09.09.2025 07:54При чём тут тайны? В статье же написано: "вытворять с номером все, что он захочет. Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг". Лично я не желаю, чтобы кто-то подключил мне платную подписку.
GidraVydra
09.09.2025 07:54Лично я не желаю, чтобы кто-то подключил мне платную подписку.Ваши желания - ваши проблемы (с)
urvanov
09.09.2025 07:54Лично я не желаю, чтобы кто-то подключил мне платную подписку.
Для этого посторонний не нужен. Сотовые операторы это делают сами, чтобы вам не беспокоиться.
Dacom_777
09.09.2025 07:54Ключевая проблема вот какая- никакой номер никому не принадлежит на самом деле. Вот и всё)) А вот если бы номер был личным, тогда можно было бы выбирать оператора обслуживания, в любой момент от них отключаться, переключаться и тд. Сейчас набегут люди, которые не увидят разницу между тем что я сказал и текущим положением вещей, вангую просто.
pes_loxmaty
09.09.2025 07:54Не совсем понял, что вы имеете в виду.
У вас есть личный номер - номер паспорта. Еще есть ФИО+ДР, этот идентификатор принадлежит вам?
Почему именно телефонный номер должен вам принадлежать, а не IPv6 например? А еще лучше RFID метку в загривок вшить и продублировать человекочитаемой татухой ))
Но какую проблему то мы решаем?
rombell
09.09.2025 07:54Номер паспорта не уникален. ФИО+ДР не уникальны. По IPv6 не производится аутентификация. IPv6 не является обязательным в современном мире. RFID сложно использовать для аутентификации на сайтах.
Что ВЫ имели в виду?
pes_loxmaty
09.09.2025 07:54Я ничего не имел.
Я вопросы задал, поскольку не понял, что хотел сказать @Dacom_777 И в контексте обсуждения поста, не понял как вечная привязка номера к человеку влияет на описанную уязвимость.
Если вести речь об уникальных идентификаторах, есть например отпечаток пальца. Он достаточно уникален и всегда при себе )) Правда в случае компрометации, его нельзя заменить. И побежали сдавать биометрию не только лишь все, хотя это ведь так удобно и классно )
Хорошо, пусть мы в качестве такого идентификатора будем использовать номер телефона. А на какой территории он будет валиден? Только в одной стране или по всему глобусу? Или быть может только в рамках одного опсоса? А каков процесс передачи идентификатора от умершего человека к новому? Хотя какая передача, он же должен быть уникальным.
Кажется номер телефона не лучший кандидат на эту роль, у него лишь один плюс — он уже сегодня широко применяется в качестве идентификатора.
rombell
09.09.2025 07:54Нынешние реалии таковы, что телефонный номер необходим. И речь о том, что номер, хотя бы один, должен быть прибит гвоздями к человеку без возможности отобрать просто так за неуплату.
При чём тут трансграничная идентификация? У нас и локальный паспорт, и прочие идентификаторы строго локальны.
inkelyad
09.09.2025 07:54И речь о том, что номер, хотя бы один, должен быть прибит гвоздями к человеку без возможности отобрать просто так за неуплату.
Это лишь самую чуточку лучше. И потянет за собой всякие заплатки, призванные запретить человека по этому телефону задалбливать.
Бить штрафами и регулированием те сервисы, которые решили прировнять номер к человеку и не задействовали дополнительные средства аутентификации - будет гораздо продуктивнее. Они же есть - пользуйтесь.
rombell
09.09.2025 07:54Помимо продуктивности, есть ещё параметр "простота исполнения" и параметр "востребованность". Если 99% потребителей не используют ТОТР даже там, где он есть, то внедрять его повсеместно - непродуктивная трата ресурсов. Полезная, но непродуктивная. И в целом решает другую проблему.
Прибить гвоздями гораздо легче, требует несравнимо меньше усилий и затрагивает гораздо меньшее количество интересов, чем штрафование. И вот одно время я думал пободаться с Открытием и мониторил тему. Почти каждый месяфц ЦБ выписыывал ему штраф, Открытие платило, но не устраняло. Ровно то же самое будет и с "бить штрафами и регулированием"
inkelyad
09.09.2025 07:54Прибить гвоздями гораздо легче, требует несравнимо меньше усилий
Я вот сильно не уверен. Это неплохая такая бюрократическая машина задействована и всякие интеграции. Фактически - этот номер надо в паспортном столе выдавать и всем причастным потом интерфейс давать (про номер паспорта, кстати, есть такой? Помнится, даже про проверку действительности паспорта есть некие проблемы).
rombell
09.09.2025 07:54В идеале - вписывать в свидетельство о рождении, в паспортном столе уже поздно. Но это в идеале. В реальности всё то же самое, что и сейчас, только человек сам на госуслугах выбирает основной номер, и этот номер опсосу запрещено отзывать. Первоначальная цель - чтобы у человека был неотзываемый прибитый номер.
Mishootk
09.09.2025 07:54Есть случаи, когда люди хотят порвать со своей прошлой социальной жизнью и меняют телефонный номер. Согласен, что в этом случае человек заморачивается и переносит свои аккаунты на другой номер, что ж, новая жизнь того стоит. Теперь, как формально с идеей основного номера это проводить? Разрешить любое количество раз менять основной номер? Возникнут технические нюансы.
rombell
09.09.2025 07:54Только в момент переноса. Решаемо.
Главная идея - чтобы опсос не мог отцепить номер от человека. После переноса флажок переставляется на новый номер. В процессе переноса - ну, например, ещё флажок "временный номер"
novice2001
09.09.2025 07:54Номер паспорта не уникален, а вот сочетание серии и номера - да. И для идентификации используют то и другое сразу.
pes_loxmaty
09.09.2025 07:54Никогда не понимал это странное деление на серию и номер. Может я просто не застал времена когда это было важно, но для меня всегда номер паспорта — это те 10 цифр которые указаны на каждой странице. Тем более и записаны они подряд.
Можно так же и на кредитке первые 6 цифр считать серией, а остальные номером карты, но зачем?
novice2001
09.09.2025 07:54Первые 2 цифры серии - код региона выдачи, вторые - примерно(!) год выдачи. А номер - это просто номер.
pes_loxmaty
09.09.2025 07:54Спасибо, буду знать.
Но я немного о другом говорил. Например у ВУ тоже первые 2 цифры - это регион выдачи, как у ИНН 2 цифры регион, следующие 2 - код подразделения налоговой. В СНИЛС последние 2 цифры - контрольная сумма.
При всём этом никто не просит "введите серию и номер ВУ" или "введите СНИЛС и контрольную сумму". Везде просят просто номер документа и человек вводит его целиком. Только с паспортом какая-то дичь творится ))).
Mishootk
09.09.2025 07:54Традиции... У вас ведь тоже есть имя, фамилия, отчество. Одна большая хоть и не уникальная строка. А в ней уже зашифрована принадлежность семье, производителю, условно региону/стране, вероятный пол. И представляясь только частью строки можно сильно терять уникальность, либо скрывать часть своих признаков.
Neusser
09.09.2025 07:54Да, можно представиться просто именем, или просто фамилией, или имя-фамилия, или имя-отчество, или все вместе. Но ведь нигде нельзя ввести просто номер паспорта без серии или серию без паспорта. Они всегда требуются вместе, т.е. фактически применяются как один неделимый признак.
Makaveli23rus
09.09.2025 07:54Номер паспорта может и не уникален, но вместе с серией как раз уникален. И номер всегда с серией указывается.
JamesonRU
09.09.2025 07:54Тоже хотелось бы чтобы у каждого гражданина был личный мобильный номер закрепленный за ним на всю жизнь, дополнительные - по желанию. А этот чтобы переоформить было нельзя вообще.
pes_loxmaty
09.09.2025 07:54Что делать с этими номерами при смерти гражданина?
Почему именно "личный мобильный номер"? Почему не иной идентификатор?
urvanov
09.09.2025 07:54Очевидно, что оставлять закреплёнными за мёртвым гражданином. Иначе вся личная и банковская информация, все привязанные сервисы сольются тому, кто получит этот номер.
inkelyad
09.09.2025 07:54Очевидно, что оставлять закреплёнными за мёртвым гражданином.
Разрядности не хватает. Номера банковских карт и СНИЛС не зря такие длинные.
Плюс, телефонная маршрутизация, кажется, не рассчитана на такое издевательство. Небольшое количество перенесших номер на другого оператора как-то работает, а вот чтобы это было массово - есть некие сомнения.
urvanov
09.09.2025 07:54Возможно, стоит сделать номера длиннее. Первоначально, когда телефонная сеть создавалась, перед создателями не стояло такой проблемы, что на номер телефона столько всего чувствительного понавешано. Но сейчас проблема есть. А номер телефона всё так же легко теряется, как и раньше, когда от него ничего не зависело.
Spyman
09.09.2025 07:54Ну как легко, должно пройти 120-180 дней с момента последней платной услуги чтобы оператор разорвал договор (предварительно списав все деньги со счета), а потом ещё 90 дней периода охлаждения - пока номер не попадет в продажу. Конечно не очень большой срок, период охлаждения можно и до пары лет было бы продлить, но и 210 без использования телефона - это достаточно солидно
Mishootk
09.09.2025 07:54Почему именно "личный мобильный номер"? Почему не иной идентификатор?
Гражданину необходим некий личный девайс, на котором будет отображаться код авторизации, когда он будет заходить на сайты под "иным идентификатором". Быстро всем раздать такие девайсы невозможно. А телефоны есть практически у всех.
yard Автор
09.09.2025 07:54Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 31.07.2025) "О связи"
Статья 63. Тайна связи
1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.
Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.
4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.
fosihas
09.09.2025 07:54а) напиши жалобу в надзорный орган
б) подай на них в суд.
Да ты указал им, но если ноль реакции. И нет смысла вызвать к совести. Есть другие способы решения.
Wesha
09.09.2025 07:54Помнится, что‑то было про «публичное озвучивание в СМИ эквивалентно сообщению о [длящемся] преступлении», не?
achekalin
09.09.2025 07:54Сейчас в банковских приложениях (альфа, ВТБ) появилась информация "у Вас долг перед билайном столько-то". Т.е. им уже даже без палева показывать, что тайна договора абонента и сотового оператора - не тайна вовсе. И банк говорит - у нас в договоре с вами есть мелкого шрифта пункт, что мы можем о вашей активности и действиях по договору с сотовой компанией получать информацию - вы же сами нам право дали!
Замечу, это не да/нет пункты, это стандартная часть договора. Те отказаться попробовать можно, но юристы банка не согласны.
yard Автор
09.09.2025 07:54Да, меня это тоже удивило в свое время. У Вас есть ссылка на полный текст правил, на которые они ссылаются?
Markscheider
09.09.2025 07:54Сейчас в банковских приложениях (альфа, ВТБ) появилась информация "у Вас долг перед билайном столько-то"
У меня такая же история с квартплатой. Но я в саппорт нажаловался, убрали (как минимум, из UI приложения :))
koshak_DAZ
09.09.2025 07:54Именно так! ВТБ подсовывает договор на кредит/кредитную карту, где впечатан пункт "Клиент даёт согласие на получение банком любой информации по указанному клиентскому номеру от оператора сотовой связи, включая баланс, список звонков, продолжительность, даты и суммы зачислений и списаний, подключаемые услуги и прочее без ограничений". И рядом ещё галочка в квадратике - тоже уже впечатанная за клиента.
Спросил, есть ли у них бланки без этого пункта - "Нет". Спросил, если я вычеркну эту дрянь - заверят ли они такое исправление подписями и печатями в договорах обеих сторон - "Нет".
Я им сказал, что они охуели, и подписывать не стал. Обойдусь без их кредитки.
vikarti
09.09.2025 07:54И эти люди спрашивают зачем нужно несколько разных sim'ок.
Да затем же зачем SimpleLogin (и Apple'овский HideMyEmail и прочие аналоги).
В том числе от таких вот любителей получать согласие.
rombell
09.09.2025 07:54О_о спасибо, добрый человек. А я чуть было не получил у них кредитку. Вычёркиваем!
achekalin
09.09.2025 07:54Это Вы еще не попробовали в ВТБ шаблон договора забрать домой "изучить". У них воздуха начинает не хватать сотрудникам дышать, начинается спектакль "рыба на дереги", а потом следует "нельзя, почему - не скажу, но нельзя!"
koshak_DAZ
09.09.2025 07:54Это они боятся, видимо, повторения истории с "Тиньковым", когда один ушлый клиент забрал договор, дома его перепечатал, внеся исправления в кабальные пункты, напечатанные мелким-мелким шрифтом, и пришёл обратно, где успешно подписал. :)
С другой стороны, если на сайте или в зале банка нет образца договора - значит, пытаются нае...!
rombell
09.09.2025 07:54С другой стороны,
если на сайте или в зале банка нет образца договора - значит, пытаются нае...!поправил, не благодарите
Mishootk
09.09.2025 07:54На каждой странице договора должна быть цифровая подпись этой страницы в связке с соседними. Это же находится в публичном месте доступном для скачивания и отправки на проверку подписи. Если клиент обнаруживает свою подпись под текстом на бумаге, которого тогда не было когда он изучал талмуд дома на сайте, то он доказывает, что он подписывался только под тем, с чем совпадает подпись. В банке - никакой суеты. Достаточно светить, что титульная/финальная подпись документа совпадает с той, которая стоит на изученном многостраничном документе. В таком сценарии невозможно подсунуть на подпись документ с измененной страницей. Вернее, можно, но сверка цифровых подписей с опубликованным оригиналом не пройдет.
То же самое можно делать с индивидуальными договорами - сначала он фиксируется у "цифрового нотариуса", а затем идет подпись уже не заморачиваясь на вычитку бумаг - достаточно совпадения цифр на листе подписей с нотариальной цифровой копией.
Возможно, такое уже есть. Не осведомлен настолько глубоко, и как простой житель с этим не сталкивался.
santjagocorkez
09.09.2025 07:54Для реализации такой схемы у клиента должен быть свободный доступ к подготовленному для него проекту договора, причём, за пределами офиса. Банки же исходят из схемы давления на клиента, когда создается ситуация «всё или ничего, пять минут на принятие решения». Банкам не нужен клиент, который вычитал договор, вероятно, проконсультировался с кем-нибудь, осознал все риски, немаловероятно, предложил свои изменения к содержанию. Им нужен такой, который подписывает то, в чем не понимает ровным счётом ничего. В идеале, не читая вообще.
Это помимо риска подписания банком договора в версии клиента без вычитки, конечно же.
Kilmez
09.09.2025 07:54Получал зарплатную карту в ВТБ - тоже в распечатанном бланке заявления уже были проставлены галочки во все поля - нужные и не нужные. Если "наехать" - то эти всё это прекрасно убирается в программе банковского работника и выходит бланк с только нужными проставленными галочками.
urvanov
09.09.2025 07:54Если "наехать" - то эти всё это прекрасно убирается в программе банковского работника и выходит бланк с только нужными проставленными галочками.
Ваш навык "Красноречие" повысился до 100
TkachenkoD
09.09.2025 07:54А на каком основании оператор связи даёт данные? Сомневаюсь, что они ему предоставляют договор на кредит. Согласие должно быть по ст. 9 152‑ФЗ и, скорее всего, у каждого оператора будет своя форма этого согласия.
Оператор обязан обеспечивать тайну связи и защиту сведений об абонентах, а при необоснованном раскрытии - ст. 138 УК РФ.
sartorius9
09.09.2025 07:54после заключения договора с банком - переходить к другому оператору с этим номером.
vilox
09.09.2025 07:54И задолженности по налогам там же. Хотя я не просил налоговую делиться информацией о моих долгах с банком.
vilox
09.09.2025 07:54А что с того, что вы дали банку право получать информацию? Вы же не давали сотовому оператору поручения информацией делиться. Сотовый оператор должен отказать банку, так как ваши договоренности с банком на договоренности с сотовым оператором не влияют.
Sap_ru
09.09.2025 07:54Если посмотреть договор с любым оператором, то обязательно будет пункт о том, что вы даёте оператору право делиться информацией и ПД со всеми и каждым.
RTFM13
09.09.2025 07:54Или они в одностороннем порядке молча внесут изменения в договор с размещением на сайте, что само по себе незаконно, но всем пофиг.
Вообще я договора сто лет не видел. Он хранится на сайте где-то глубоко чтобы никто случайно не нашел, а подписываете вы обычно не договор, а заявление/анкету.
VladimirFarshatov
09.09.2025 07:54Года полтора взад, собеседовался туда как Гошник. Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам. Не удивляет, но может что-то и изменилось за это время.
Rorg
09.09.2025 07:54Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам.
Если не секрет, почему вы отказались из-за этого?
VladimirFarshatov
09.09.2025 07:54Потому что уже имел (и не единожды) опыт, если на собеседовании на встречный вопрос слышно "а что так можно?", то потом тебя будут отправлять "высадитесь на Солнце. Да, мы не дураки, высаживайтесь ночью". Да и .. до них нашел вполне приличное место, не жалею.
germn
09.09.2025 07:54То есть если однажды к вам на собеседование попадёт человек "выше рангом" по хард-скиллам, ему следует побыстрей отказаться от процесса, чтоб вы его на солнце не отправили?
VladimirFarshatov
09.09.2025 07:54Не начальник. Не моё. Простой, линейный разраб.. Нет возможности отправить кого-либо и куда-либо. Не переживайте.
plFlok
09.09.2025 07:54ух, в холиварную тему провоцируете уйти.
По-моему как раз это и норма, когда нанимают специалиста с выдающимися навыками, которых нет ни у кого из текущих сотрудников, чтобы расширить границы компетентности команды.
Отправлять на солнце ночью - норма, если у отправляемого есть право заявить, что согласно его экспертизе это невозможно потому-то и потому-то, и надо искать другие пути решения задачи.
Избегать такого найма - это какая-то обратная селекция, как будто хочется специально попасть к командам, которые не знают, зачем нанимают.
VladimirFarshatov
09.09.2025 07:54Возможно. Мне давно уже хотелось попасть в команду, где можно просто тихо сидеть в уголке и кодить или решать нечто не решенное (как сию).. Все эти гонки на Солнце - надоели лет 10 взад.. Да и .. 45лет стажа, в основном везде одно и тоже и уже очень давно.
venanen
09.09.2025 07:54Это не селекция, а вполне валидная позиция "лучше не работать за рупь, чем работать за 2". Я таких людей тоже знаю, и далеко не все готовы и хотят высаживаться на солнце, блистать в лучах славы и быть top-of-the-top. Хотят просто сидеть, писать REST простенький, кнопочки красить и так далее.
ImagineTables
09.09.2025 07:54Между прочим, покрасить кнопочку под Windows осилят не только лишь все.
Shaman_RSHU
09.09.2025 07:54Руководитель безопасников МТС есть на хабре, но врядли Вам ответит. Гораздо важнее выступать на различных конференциях, продавая свой SOC.
Gnuava
09.09.2025 07:54Теперь ЛЮБОЙ человек может позвонить на номер 88002500890, дождаться ответа оператора, назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.Вижу крики белки-истерички.
Данные совпадают? Обслуживание продолжается, данные не совпадают? Пока-пока. Паспорт тут далеко не обязателен, это простой и понятный принцип, даже сказал бы, что это стандарт в отрасли.
У меня тут больше вопрос к IVR
Я ввел номер паспорта - но специально с ошибкой. МТС меня все равно идентифицировал как абонента и «слил» все данные, относящиеся к тайне связи.Значит, номер паспорта не был причиной для идентификации, а был потребностью в регулярном подтверждении ПД. Именно поэтому его и убрали потом.
yard Автор
09.09.2025 07:54Какие данные совпадают? Те, что запрошены - да. А какие ДОЛЖНЫ совпадать и запрашиваться? И какой способ подтверждения абонента является законным?
Gnuava
09.09.2025 07:54А какие ДОЛЖНЫ совпадать и запрашиваться?ФИО и номера телефона / договора достаточно.
И какой способ подтверждения абонента является законным?А тут всё на усмотрении организации.
Многого при общении с тех. поддержкой ты все равно не сделаешь.
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.Это же настолько же интересные сведения, вау, ими можно оперировать в мошеннических целях, только вот как, и почему до сих пор нет пострадавших?
Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Обычным ширнармассам такое излишне, и будет только мешать.
yard Автор
09.09.2025 07:54ФИО и номера телефона / договора достаточно.
Кто решил, что этого достаточно?Gnuava
09.09.2025 07:54А кто решил, что этого недостаточно?
Wendor
09.09.2025 07:54Есть у меня конкурент, Иванов Иван Иванович. По заказам шабашит. Позвоню ка я в МТС, попрошу заблокировать симку, в связи с утратой телефона. А пока он опомнится, шабашить буду только я. Профит
Gnuava
09.09.2025 07:54Ок, Иванов Иван Иванович видит, что его номер заблокирован, подает обращение, ему говорят "вы заблокировали номер".
Он такой "я не блокировал". Ему в ответ "нет, вы блокировали".
Он идет в ментовку, те запрашивают данные о звонящем, записи разговоров, и находят его.
Выглядит, как сказка. Только, в реальности, практического смысла в таком событии для атакующего нет. На сколько времени тут будет простой? Менее суток - жертва успеет дойти до ближайшего офиса и получить новую симку.
СБ на такую ситуацию точно напряжется.
Neusser
09.09.2025 07:54Он идет в ментовку, те запрашивают данные о звонящем, записи разговоров, и находят его.
Кого "его"? По тем данным звонил сам Иванов из телефона-автомата. Это если вообще искать что-то будут, а не сразу пошлют.
uranik
09.09.2025 07:54>Менее суток - жертва успеет дойти до ближайшего офиса и получить новую симку.
А вдруг жертва релоцировалась 3 года назад в другую страну, а симку как второй фактор для доступа к гос сервисам использует? "до ближайшего офиса" становится квестом.
sartorius9
09.09.2025 07:54куда он идет? в какую ментовку?
если вы имели ввиду милицию, то в полиции ему скажут, что милиции, защищавшей граждан, больше нет.
а полиция, защищает интересы правящего класса, и потому не усматривает состав преступления в безобидной шутке по отношению к простому рядовому гражданину ивановиваныванычу.
как то незаметно большинство из нас и превратилось в таких вот ивановиваныванычей, безропотно идущих на...
за информацию по МТС спасибо. давно подумывал перейти от них. вот и повод подходящий. пусть и они с моей подачи хоть немножко сходят внах.
до сих пор останавливало только то, что на личный кабинет моего номера были завязаны ЛК всей семьи. но их почти всех уже постепенно перевел.santjagocorkez
09.09.2025 07:54за информацию по МТС спасибо. давно подумывал перейти от них
Комментарий рассказчика: похождения sartorius9 к другим операторам с аналогичной концовкой ждите в следующих сериях.
mgnhabrauser
09.09.2025 07:54А если есть номер банковской карты, то можно в банк позвонить и заблокировать ее, и это тоже совершенно нормально))
Ileots
09.09.2025 07:54>>А кто решил, что этого недостаточно?
проблема в реализации этого "кодового слова", которое лишь дополнительный атрибут в карточке клиента. Как его в ней не подсвечивай и интерфейсно не выделяй - человеческий фактор, и на него могут не обратить внимания.
Вот если бы оно было бы паролем, без которого сотрудник просто в карточку клиента зайти не смог бы, это было бы более интересно.
yard Автор
09.09.2025 07:54Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Я вас расстрою, что мобильные операторы даже при установленном кодовом слове все раскрывают. Примеры из практики у меня тоже есть. И очень много.Gnuava
09.09.2025 07:54И какая с этого ответственность у оператора наступила?
мобильные операторы даже при установленном кодовом слове все раскрываютТогда причем тут МТС, если это общая температура по больнице?
kogemrka
09.09.2025 07:54Тогда причем тут МТС, если это общая температура по больнице?
Если Васян ворует, Васян должен за это ответить.
Тот факт, что кроме Васяна ворует ешё и Петян и Стасян никак не оправдывает Васяна. Конечно, этот факт может добавить обществу дополнительных задач и обсуждений, но не должно повлиять на наказание Васяна.
yard Автор
09.09.2025 07:54При том, что это МТС не выполняет возложенные на операторы обязанности. Остальной дурдом меня не волнует.
vShadow
09.09.2025 07:54А как вы узнали, есть пострадавшие или их нет? Вот такое, например, добралось до Интернета:
МТС игнорит клиентов и подключает платные услуги без согласия
Пойми теперь - это инициатива оператора или кто-то хулиганит.
Gnuava
09.09.2025 07:54Глядя, с какой легкостью компенсируются средства при первом обращении, никто ничего не узнает наверняка.
LinkToOS
09.09.2025 07:54Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Разве это можно сделать? Кодовое слово это опция, которую банк или оператор могут использовать, если захотят. Но это не доп. защита для клиента, которую он сам может активировать.
RTFM13
09.09.2025 07:54Именно так. Способ защиты выбирает банк/опсос, а все проблемы и ответственность связанные с этим выбором достаются клиенту.
diderevyagin
09.09.2025 07:54Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Вы предлагаете не ставить замки на двери и разрешать вход в квартиру любому, кто знает ваш адрес и способен дойти до двери. так вот - это все относиться к вопросам тайны связи и получением информации и тем более на манипуляции - должно быть ТОЛЬКО явная идентификация без вариантов.
RomanDrDev
09.09.2025 07:54Все же узнать номер и ФИО можно из слитых в большом количестве баз. Да и, скорее всего, у тебя тоже есть знакомые с симками МТС. Это же не значит, что ты должен иметь возможность управлять их тарифами, как тебе вздумается? Вопрос только в том, точно ли это так работает? Я вот сейчас пытался вспомнить, были ли какие-то подтверждения, когда я звонил на этот номер, или действительно хватало только этих данных.
YegorP
09.09.2025 07:54узнать номер и ФИО можно из слитых в большом количестве баз
Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё. Даже коммунальщики давно догадались печатать в извещениях только инициалы.
shark14
09.09.2025 07:54Скажите это Мосэнергосбыту, они в 2025 году до сих пор пишут полные ФИО на квитанциях.
RTFM13
09.09.2025 07:54Вообще, фио, паспорт, номер телефона и т.п. это, по сути, публичные данные НЕ предназначенные для авторизации.
Дебильный вахтёрский инфобез вынуждает пытаться их секретить, но это тупиковый путь. Вы не сможете вымарать личные данные отовсюду. Даже не то что отовсюду, а хоть сколько-нибудь значимо сократить количество потенциальных утечек.
kukovik
09.09.2025 07:54вы до сих пор получаете бумажные квитанции Мосэнергосбыта? от них же давно уже можно отказаться. чего не скажешь от квитанций ЖКУ.
inkelyad
09.09.2025 07:54Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё.
Если не показывать - жалоб будет еще больше. Или шуму "почему банк меня не предупредил и не показал, я в наборе телефонного номера ошибся, когда деньги переводили". Ну и строго говоря - как обосновать запрет узнавания кому ты, собственно, переводишь?
Тут просто сама концепция дурная - одновременно хотим и не хотим, чтобы эти ФИО были публичными.YegorP
09.09.2025 07:54я в наборе телефонного номера ошибся
Делов-то: заставить отправителя вводить фамилию получателя вместе с его номером телефона и не показывать вообще никаких данных получателя. Это же перевод физик-физик, то есть люди точно знают друг друга. И даже абстрактный Ашотик в ларьке с фруктами сможет под это адаптироваться.
Kwisatz
09.09.2025 07:54пробовали уже банки такое, только с ИНН. На следующий день после попытки такое ввести, банк захлестнули отклоненные платежи и бухи истерички которые не могут верно все данные внести. И от такой проверки отказались, не знаю есть ли сейчас, кейс наблюдал лет 13 назад.
RTFM13
09.09.2025 07:54Ну ИНН физика еще надо узнать. Не удивительно.
Кроме того, это можно сделать как опцию.
Собственно, есть же перевод по номеру карты. Но, блин, на него другие тарифы и лимиты.
Kwisatz
09.09.2025 07:54Я про юриков. Когда юрику делаешь перевод указываешь кучу фигни типо бик р/с коррсчет город инн получателя итд. На самом деле нужно только бик и номер р/с, для страховки - инн получателя. Так и было сделано и далее все что я описал. Это я к тому что люди на редкость невнимательные безалаберные существа))
inkelyad
09.09.2025 07:54На самом деле нужно только бик и номер р/с
Иными словами - российский IBAN. Но с его одобрением очень долго тормозили.
YegorP
09.09.2025 07:54Так а при чём тут юрики? Оффтоп какой-то. Телефон и фамилия это понятные любому человеку вещи.
Maccimo
09.09.2025 07:54заставить отправителя вводить фамилию получателя
Написать чужую фамилию без ошибок это очень сложная задача, как показывает практика. Пары глухая-звонкая согласная передают привет. Вместо
бмогут написатьп, вместог—хили дажек, прое/ёвообще молчу.YegorP
09.09.2025 07:54А что это за ситуация, где получатель не может уточнить для отправителя написание своей фамилии? И что за ситуация, где критически важно написать верно с первого раза?
koshak_DAZ
09.09.2025 07:54Чушь. Если человек хочет денег - найдёт способ сообщить свои Ф. И. О. плательщику. Мессенджер, SMS, e-mail, ссылка на облако - масса способов. И в большинстве случаев не надо будет набирать - только копировать. Есть ещё вариант по QR, сгенерированным банком получателя - там ещё проще: навёл/распознал, отправил.
inkelyad
09.09.2025 07:54Но при всем при этом СБП работает почему-то по номеру телефона, а не по, скажем, номеру банковского счета или своему идентификатору. Хотя из той же логики продавец "если хочет денег" - найдет способ сообщить эту последовательность цифр, куда деньги слать.
pes_loxmaty
09.09.2025 07:54Как уже тут упоминали для банковского перевода достаточно БИК банка и номер р/с. 9 + 20 цифр получается. СБП требует 10 цифр телефона + выбрать банк по названию.
Не сказать чтобы катастрофическая разница. СБП переводы вошли в обиход скорее из-за своей бесплатности. Будь переводы по реквизитам такими же быстрыми и бесплатными, все бы привыкли к иным идентификаторам.
inkelyad
09.09.2025 07:54Будь переводы по реквизитам такими же быстрыми и бесплатными, все бы привыкли к иным идентификаторам.
Я, в общем, так же считаю. И считаю то, что 'перевод по номеру' (да еще такой быстрый) - был ошибкой, которую уже каким-то по счету законом и заплаткой чинят.
Вопрос в том, что из каких-то соображений они выбрали именно номер телефона. Неужели просто из-за того, что модно, круто выглядит, идея выглядела привлекательно с рекламной точки зрения?
YMA
09.09.2025 07:54Я знаю телефонные номера практически всех знакомых. Эти данные у меня уже есть. Спросить - "на какой банк тебе кинуть?" и получить ответ "на сбер/тиньков/альфу..." проще, чем - "пришли мне БИК и номер счета".
Да, могут быть накладки - у знакомого однажды картой по умолчанию для переводов почему-то стала кредитка. И перекинутая сумма улетела туда. Неудобненько получилось.
pes_loxmaty
09.09.2025 07:54Неужели просто из-за того, что модно, круто выглядит
К моменту появления СБП, номер телефона уже стал дефакто этаким всеобщим идентификатором.
Он относительно короткий. Широко распространен — у любого человека есть телефон (хотя в общем случае это не так). Он применяется повсеместно - банки, любые сервисы в интернете, мессенджеры, в конце концов, на него можно просто позвонить.
Но он не проектировался для такого применения, оно само так вышло )
Я еще застал те времена, когда регистрируясь на каком-нибудь сайте ты придумывал себе логин, и он был твоим идентификаторм на этом сайте. На другом другой, в налоговой ИНН, в банке номер счета, в поликлинике условно полис ОМС ) И в этой схеме номер телефона, это просто еще один локальный идентификатор.
not-allowed-here
09.09.2025 07:54для этого придумали "нулевое доверие" - когда все транзакции авторизуются только по факту письменного подстверждения в банке...
Antares1991
09.09.2025 07:54Вы, по-ходу, посыл не поняли. Представьте, что у вас есть недруг, и ему, чтобы прокинуть вас на бабки через доп. услуги МТСа, достаточно знать ваши ФИО и номер телефона. Т.е. любой условный коллега/одноклассник/сосед может слить Ваш баланс без какого-либо хакерства вообще. Как вам такое? Даже требование номера договора уже на порядок повысит устойчивость, а так это даже не открытая дверь, это распахнутые ворота в 10 метрах от охраняемой проходной.
NinaNina89
09.09.2025 07:54По вашей логике для входа в интернет-банк тоже достаточно логина и ФИО. Пароль и смс - это же "излишне и будет мешать"
Стандарт в отрасли - это многофакторная аутентификация, а не то что вы описали
apevzner
09.09.2025 07:54Алло! Здравствуйте, это анонимный телефон доверия ФСБ?
Да, Василий Васильевич. А почему, кстати, вы с телефона своей тёщи звоните?
andi123
09.09.2025 07:54Есть симка для ребенка, в которой отключили все, что можно, кроме звонков (растет юный пентестер). Даже поставили "кодовое слово" (МТС позволяет это сделать в любом пункте обслуживания, чтобы через оператора нельзя было сделать такой фигни о которой говорит ТС). Оказалось, что даже это не панацея. Оператор тупо не видит у себя в интерфейсе, что установлено кодовое слово и нужно его запрашивать.
Выяснилось когда ребенок опять всякое наподключал - просто позвонил оператору и попросил.
yard Автор
09.09.2025 07:54Вот я про это выше в одном из комментариев и написал - что даже кодовое слово не спасает. Его тоже игнорируют операторы.
Вообще оператор тогда должен нести ответственность за игнорирование кодового слова.
pes_loxmaty
09.09.2025 07:54просто позвонил оператору и попросил
Так оператор финансово заинтересован в подключении любых платных услуг.
А доказать, что ты такого не подключал затруднительно для обычного обывателя
Inskin
09.09.2025 07:54В Мегафоне меня спасало "наехать" (без фанатизма). Один раз тариф вернули, с которого втихаря перевели на более дорогой ("если вы не читаете смс, значит вы согласны на удорожание тарифа"), другой раз отключили платную подписку и вернули деньги.
NinaNina89
09.09.2025 07:54Получается, самая надежная защита это не кодовое слово, а ребенок, который регулярно проверяет на прочность вашу оборону. Лучший пентестер
LinkToOS
09.09.2025 07:54Если все так, то почему диверсанты до сих пор не написали бота, и не устроили хаос? Заинтересантов в хаосе сейчас хватает. И для обычных мошенников-разводил это суперинструмент.
Может не все так просто, и есть проверка неочевидного "цифро-аналогового отпечатка"? Образцы голоса, список "аффилированных" номеров телефона, например. Или это было бы чересчур для такой высокотехнологичной компании? Обычный тупизм-пофигизм более вероятен.
nitro80
09.09.2025 07:54Образцы голоса
Это же биометрия, её разве можно собирать без ведома абонента?
LinkToOS
09.09.2025 07:54Биометрию не можно. Но список всех номеров, принадлежащих человеку, уже достаточно давно доступен операторам. Автор наверняка с одного из своих номеров звонил.
yard Автор
09.09.2025 07:54Нет, звонок был с сети фиксированного оператора. Оформленного на юридическое лицо. Про него МТС не знает ничего.
Wesha
09.09.2025 07:54почему диверсанты до сих пор не написали бота, и не устроили хаос?
Потому что сейчас хаос им не нужен. Но бота они написали, и он стоит на запАсном пути. Вот взбунтуется какой-нибудь Рогожин — так сразу и....
axion-1
09.09.2025 07:54Если все так, то почему диверсанты до сих пор не написали бота, и не устроили хаос?
Так дыра же через звонок в техподдержку и общение с живым оператором работает. При массовых звонках прикроют сразу. Хаос тут не устроить, максимум подлянку ограниченному кругу лиц.
sovbez
09.09.2025 07:54пример Аэрофлота уже показал, что огроменные дыры в ИБ запросто могут быть даже у крупнейших компаний
Calculater
09.09.2025 07:54А где/у кого их нет? Наверно мы их еще не знаем, или уже не услышим, по причине прекращения деятельности.
PatakinVVV
09.09.2025 07:54Классическая история. Кто-то в погоне за улучшением клиентского опыта решил, что запрашивать паспортные данные по телефону - это долго и неудобно. Убрали проверку, а про то что ФИО и номер телефона - это по сути публичная информация, никто не подумал. Это не злой умысел, это обычная халатность на стыке отделов
muxa_ru
09.09.2025 07:54это обычная халатность на стыке отделов
В том то и дело, что ОБЫЧНАЯ, а не ЭКСЦЕСС.
Semen_Kataev
09.09.2025 07:54МТС четко соблюдает законодательство в области сохранности и защиты персональных данных абонентов. Используя ФИО, в контактном центре можно уточнить баланс номера. При этом операции, которые содержат персональные данные абонента и тайну связи, доступны для совершения только в случае усиленной идентификации владельца и при обращении с номера телефона.
Пришлите, пожалуйста, номер телефона на наш адрес https://opros.ssl.mts.ru/mentions, мы проведем дополнительную проверку.
omaxx
09.09.2025 07:54Вот только часто под "усиленной идентификацией владельца" подразумевается "спросить дату рождения и иногда номер паспорта"
shchepin
09.09.2025 07:54Зачем вам телефон? Что б с топикстартера потом и спросили? Лучше бы провели внутреннюю проверку и процессы переделали.
Кстати, вы кто? Рандомный аккаунт на хабре?:)
Sap_ru
09.09.2025 07:54Это нейросеть. Этот аккаунт носится по всем Хабру и везде оставляет сгенерированные нейросетью комментарии. Как тут администрацию уведомить, кстати?
S-trace
09.09.2025 07:54А ещё забавно то, что через 8-800 звонить операторам гораздо быстрее и приятнее.
Был момент, когда через 4значный внутренний номер меня два раза минут по 15 держали на холде, и так и не соединили с оператором. Перезвонил на 8-800 - минуты через 3 соединили.
Только звонить надо с другого оператора, операторы свои 8-800 перехватывают сами бесплатно, и поэтому трюк не срабатывает.
NinaNina89
09.09.2025 07:54Самое печальное, что после вашего поста скорее всего ничего не изменится. В лучшем случае тихо вернут проверку по паспорту. Никаких публичных извинений и разборов полетов не будет. Для большой корпорации признать такую ошибку страшнее, чем сама ошибка
sunki
09.09.2025 07:54Ой да расслабьтесь, никто ваши данные защищать не собирался и не собирается. Нам МТС симку по левой доверенности выпустили, после чего сняли все деньги из зеленого банка.
santjagocorkez
09.09.2025 07:54Вообще-то, в таких случаях, согласно судебной практике, оператор связи несет полную ответственность за похищенные денежные средства. Есть ещё вариант с настоящей нотариально заверенной доверенностью. Тогда ответственность несет нотариус.
sunki
09.09.2025 07:54В целом да, если повезет. Только процесс этот может занять ни один год.
santjagocorkez
09.09.2025 07:54А задача какая: вернуть свои деньги или узнать, что коммерческая организация класть хотела на интересы клиента? Если второе, то предлагаю прочитать самые вводные статьи закона «О предпринимательской деятельности», и закрыть этот вопрос для себя навсегда и априорно.
sunki
09.09.2025 07:54Простите, а в чем ваш посыл? Я ведь примерно об этом и говорю. И кстати, статья про защиту данных, а не предпринимательство.
santjagocorkez
09.09.2025 07:54И кстати, статья про защиту данных, а не предпринимательство
Так ведь и то, что у тебя деньги увели через подмену симки, тоже не относится к защите данных.
Простите, а в чем ваш посыл?
В том, что берешь и отстаиваешь свои права в суде, если считаешь их нарушенными. Чем, кстати, окажешь услугу не только себе, но и своим детям. Чем больше людей вместо «обращений» идут в суд, тем лучшее будущее достанется детям.
sunki
09.09.2025 07:54Во-первых, когда мы перешли на ты? Во-вторых, с чего вы взяли, что мы в суд не ходили?
Так ведь и то, что у тебя деньги увели через подмену симки, тоже не относится к защите данных.
Очень даже относится. Про проблему сим своппинга не вчера узнали. Да и в целом про человеческий фактор в обеспечении безопасности писал еще Митник в 90-е. О проблеме все знают, но годами для ее решения не делается ничего, даже опциональных решений не предлагается. Автор в своем посте примерно об этом и пишет.
PavelBelyaev
09.09.2025 07:54Я так понимаю что надо знать номер, фио и ещё паспортные данные, но такое ощущение что с такими данными давно можно звонить ко всем операторам и просить заблокировать утерянную симку или восстановить, или разблокировать... Детализацию вроде так не все дают, надо ехать, ну как минимум на привязанный емейл, а не на левый.
aMster1
09.09.2025 07:54Однажды в поездке попал в пренеприятнейшую ситуацию - телефон перезапустил (уж и не помню причины) и сунул в карман брюк. А эта скотина прогрузилась до ввода PIN и ввела непонятно что несколько раз.
В итоге я оказался достаточно далеко от салонов своего оператора с нерабочим телефоном. И да, puk я не помню. Ну то есть он наверно где-то дома лежит... Наверно...
Решил вопрос звонком в ТП с телефона жены. Да, и паспорт, и адрес и прочее все что спросили ответил. Да, pin сказали.
Нужен ли такой сервис? Скорее да чем нет. Нужна ли тщательная проверка - обязательно. Есть ли в такой ситуации возможность "налюбить" человека - несомненно есть.
Но боюсь и при "личном обслуживании" путем "качественной мотивации сотрудников" можно получить и дубликат симки и прочее, прочее... Вопрос лишь в мотивации...
S-trace
09.09.2025 07:54У коллеги Intune Portal пару раз вайпал данные с рабочего телефона по аналогичной причине, случайная активация экрана в кармане и несколько раз неверно набраный пароль от телефона. Пришлось отучать софт от этой пакости прежде чем ставить.
Ileots
09.09.2025 07:54это, кстати, подтверждения того, что установка пин-кода на симку от "целевой" кражи телефона(симки) не спасет... И, соответственно, от увода тех лк, доступ к которым восстанавливается с помощью смс...
YMA
09.09.2025 07:54eSIM тут рулит.
Или контракт от Ростелекома ;) - как-то отец поставил пин на симку (по моему совету), и забыл его благополучно. В поддержке сказали
"вот где симку покупали, туда...""Приходите в офис с паспортом за новой симкой". Так что иногда бюрократия рулит.
muxa_ru
09.09.2025 07:54Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.
Можно ли сделать какую-нибудь переадресацию СМС?
tlmres
09.09.2025 07:54Операторы связи как всегда в своем репертуаре, иногда кажется что закон им вообще не писан.
santjagocorkez
09.09.2025 07:54Да я просто запарился ждать 3 дня ответа в чате поддержки на очередное незаконное списание денег
Родина дала им ЗоЗПП. Пишешь претензию, взыскиваешь на изи деньги плюс проценты за пользование чужими средствами плюс моральный вред плюс 50% штрафа. Нет, не хочу, хочу ждать ответа на «обращение».
Zed-nsk
09.09.2025 07:54Кстати да! Был у меня прецедент, позвонила жена из офиса и сказала что е может зайти в ЛК МТС, глюки с паролем, а в ТП на человека вйти не может. Так я с Билайна дожал бота и общался с человеком. Жена была в одном ухе, чел в другом и мы успешно сменили пароль
PjaniyAdmin
09.09.2025 07:54Мтс может, у меня начали списываться деньги, начал разбираться, обнаружил услугу которая стоит 1,5 рубля в сутки. Новых услуг уже 5 лет не подключал. Написал в поддержу, вначале ИИ делал вид что не понимает, потом просто прервал беседу и всё началось сначала. С какойто попытки добрался до ответов живого человека, оказывается они услугу переделали :) но виноват я сам, надо было ходить на сайт МТС и где-то там читать что они услугу меняют, уведомить смс - нельзя, сразу же услугу отключишь и мтс денег не поднимет.
verssetty
09.09.2025 07:54Вы спокойно ведете диалог и решаете....
Дальше можно не читать, пост наброс. Тп нет у мтс, вечное висение на ожидании. Чат поддержки скрыт.
adn_dev
09.09.2025 07:54Они все хороши, мне Yota вообще бывшего уголовника прислала который в разрез протоколу, как я позже в поддержке узнал, сделал фото моего паспорта. Их официальный ответ на ситуацию - нам очень жаль можем пополнить ваш баланс на 50руб.
Ну тобишь полная безответственность с плевком в лицо, даже если обеспечили клиенту потенциальную угрозу жизни.
Все жалобы в роспотребнадзоры, следственные комитеты, написания заявлении и тд, эффективны только на бумаге, в итоге тебе возвращается отписка с общим смыслом - нет оснований. Так и живем.
IlyaStroynov
не дыра, а ДЫРИЩЩЕ!
MrSmitix
Если предположить гипотетическую ситуацию, когда у меня есть конкурент, использующий МТС для общения с клиентами, а я прекрасно знаю его ФИО и не только, то подобная брешь позволяет мне легко сформировать детализацию звонков за последние 1–3 года и отправить её себе на почту. Слитая клиентская база - это уже совсем не шутка.
Очень маленький процент микробизнесов использует телефонию. Хотя, возможно, слить детализацию с "бизнес"-номера можно аналогично. По крайней мере, из ЛК я могу указать любую почту для отправки. Но, наблюдая, как работает их поддержка в B2B, скорее всего, человеку на том конце провода будет просто впадлу что-то делать
Да и есть более бытовые варианты. Узнать, с кем общается ваш супруг/супруга. Или просто девушка, которая кинула вас в ЧС после первого свидания, а вы, aka сталкер, её кошмарите и продолжаете за ней следить. Последний кейс осуждаем, но люди разные бывают
В тексте автор больше суеты наводит, чем показывает реальные кейсы. Получилось ли что-то подключить? Хотя на счёт этого есть косвенные доказательства ниже в комментах. Получилось ли запросить детализацию не на привязанную почту? Получилось ли что-то изменить? Почему бы не провести эксперименты на собственном номере и написать статью уже с фактами? Что именно автору слили в 2019 году?
Я не имею отношения к МТС и, более того, презираю их за множество косяков, но без ответов на эти вопросы это больше похоже на "крики белки-истерички", как писали ниже. Но это лучше, чем ничего. Одно дело - говорить, что сделайте так-то, и вы сможете получить условную детализацию, а другое - я сделал так-то и получил детализацию на левую почту, позвонив с левого номера и сообщив только вот такие данные, и у меня есть вот такие-то доказательства. Тут уже и МТС стандартными отписками не отделается, если решат что-то ответить вообще
i_grin
" Слитая клиентская база - это уже совсем не шутка."
Так большая тройка давно на этом бизнес делает. Есть сервисы, которые совершенно легально сливают все звонки на целевые номера.
MrSmitix
Да, такое действительно есть. Но там ведь немного другая система. Вы делаете автоматические СМС рассылки, которые ещё и приходят через день, а не получаете номер напрямую для звонка. По крайней мере я видел только такие варианты
yard Автор
дают напрямую номер.
Dacom_777
Поддерживаю, проходил это
PatakinVVV
Есть ощущение, что не хватает пруфов и конкретных экспериментов в статье, но автор, возможно, просто не стал проводить эти эксперименты, чтобы не попасть под статью о неправомерном доступе к информации. Он обозначил вектор атаки, а проверять его на себе - уже дело рискованное
yard Автор
Я не хочу раскрывать всех деталей. А их, поверьте, достаточно много. Я могу их озвучить представителям компании под NDA.
Есть другие законы, которые я тоже обязан исполнять, когда публикую чувствительную информацию. Я указал вектор опасности. Далее компания сама принимает решение об аудите и устранении. Если они посчитают это необходимым.
Выкладывать все public не всегда корректно. Иногда даже опасно. Там есть и более серьезные проблемы. Но пока не хочу их озвучивать. Пусть с этим разберутся сначала.
TashM
А почему не отправите эту информацию в РКН? Пусть хотя бы иногда занимаются чем-то полезным )
OlegKnut
Моим клиентам перезванивали от моего имени и выставляли счета на организацию с таким же именем как у меня, только под другим адресом регистрации, но кто это проверяет? Так вот когда клиенты начали меня спрашивать, а где же оборудование, понял что мои контакты воруют. Я тогда использовал Мангоофис. В общем я попросил всех своих знакомых позвонить на рабочий номер и каждому из них через пару дней перезвонили аферисты от моего имени, якобы они интересовались моим оборудованием. Написал жалобу в манго и поменял телефонию. Проблема ушла. Кстати манго ответили, что у них все хорошо и это я все придумал.
forajump
У МТС не дыра в безопасности, а дыра в опасности!