В 2015 году я написал несколько статей про оператора связи Билайн и его игры с HTML-кодом:


С того момента оператор более не был замечен в подобного рода инцидентах, а сегодня я хочу рассказать о том, как Билайн отправлял детализацию разговоров не владельцу номера.



У любого оператора есть возможность просмотра детализации звонков и других услуг через личный кабинет, также часто можно встретить опцию, при подключении которой оператор будет отправлять файл с детализацией на почту раз в месяц. Функция довольно удобная, и в какой-то момент я решил ей воспользоваться, подключив ее на все мои 8 номеров. Часть номеров использовалась только под интернет в планшетах и модемах, поэтому наизусть их я не помнил.

В какой-то осенний день получив файлы детализаций и бегло просмотрев их, я увидел в детализации для одной из SIM-карт незнакомые мне номера и прочую информацию, да и сумма расходов на мою была не слишком похожа. Первая мысль — кто-то получил дубликат SIM-карты и начал тратить деньги, но эта идея сразу отпала, так как все SIM-карты рабочие, а детализация приходит за прошедший месяц.

Выполнив в почте поиск номера телефона, указанного в подозрительной детализации, я увидел много писем с этим же номером, но отправленных более полугода назад. В тот момент я понял, каким образом ко мне попала детализация с конфиденциальными данными абсолютно другого человека, но я не мог понять, как оператор связи допустил такую ошибку.



Разгадка оказалось очень простой. У Билайна есть замечательная услуга — смена номера. Если по какой-то причине вам надоел ваш текущий номер телефона, и вы хотите его поменять, то сделать это можно не выходя из дома: всего за 30 рублей и пару минут можно получить другой номер, который будет привязан к существующей SIM-карте. Услуга довольно удобная, и примерно за полгода до описываемых мною событий я решил ей воспользоваться (лайфхак: никогда не звоните в автомобильные салоны с «живого» номера, перезванивать будут каждый день). Смена номера прошла успешно, и я благополучно об этом забыл.

Как вы уже, наверное, догадались, через полгода мой старый номер обрел нового владельца, но по какой-то причине связка “номер и e-mail для отправки детализации” не обновилась, поэтому я получал детализацию разговоров, которые совершил текущий абонент моего старого номера. Через сотрудника Билайн я сразу рассказал о найденном мной баге и получил ответ, что баг будет исправлен в самое ближайшее время. К сожалению, данный сотрудник больше не работает в этой компании, поэтому статус уязвимости мне не известен, хотя я и очень надеюсь, что за 3 года ошибка была исправлена.

Конечно, данная уязвимость не позволяла получать детализацию какого-то конкретного абонента, как не было и вообще каких-то гарантий, что старый номер получит нового владельца в краткосрочной перспективе, однако учитывая, что в последние годы операторы не получают новые пулы номеров, и абоненты используют б/у номера, то перспектива получения посторонним человеком данных о звонках и SMS не очень радует.

Комментарии (12)


  1. SaM1808
    28.09.2018 09:20
    +4

    Добрый день…
    Название топика: Как получить детализацию чужих разговоров всего за 30 рублей?
    Ответ в тексте: подключите на _свой_ номер услуги и смените _свой_ номер на другой. Потом… когда нибудь… когда ваш бывший номер кому то достанется, то вам на почту придет его детализация…
    IMHO, название не соответствует топику.


    1. leonid239 Автор
      28.09.2018 10:10

      Да, Вы правы, спасибо! Исправил название топика.


  1. the_bat
    28.09.2018 09:43
    +1

    Название не соответствует, но я бы не хотел, чтобы после смены номера кто-то мог получить мою детализацию…


  1. dollar
    28.09.2018 10:02

    А что делает реклама VPS в статье?
    Вставлена в виде цитаты (blockquote). Это точно не реклама Хабра.
    Значит, автор статьи вставил рекламу.


    1. maxzhurkin
      29.09.2018 20:03

      Это статья в корпоративном блоге


  1. leonid239 Автор
    28.09.2018 10:11

    Вывод: проплаченная статья.

    Прошу прощения, но напрашивается вопрос: проплаченная кем? Не думаю, что какая-нибудь компания захотела платить за публикацию своих ошибок…


  1. SaM1808
    28.09.2018 10:22
    +1

    Добавлю вам один баг… На этот раз Мегафона… к общему, так сказать, списку…
    Условие: вы работаете в конторе, в ваши обязанности входит рулить _корпоративным_ личным кабинетом на 10-20-пофиг сколько подключений…
    Ситуация: приходит сотрудник — он увольняется, хочет при уходе из компании забрать свой номер (сделать корпоративный номер — личным). Ситуация частая, решается без проблем, банальной бумагой…
    После вывода номера «из корпоративного контракта», заходим в _корпоративный_ личный кабинет и… опа, видите чужой лицевой счет, номер, услуги, детализацию, и имеете божественное влияние на уже _чужой_ номер.
    Лечится мессагой в Мегафон, который говорит полечим, но воз и ныне…


  1. joker2k1
    28.09.2018 13:03

    В билайне у меня уведомления не приходят никакие, ни о входе в кабинет, ни о чем. Ни на почту ни смс. Хотя все галочки в личном кабинете установлены.
    Пишу в поддержку — никакой реакции. Чет думают думают, и не отвечают в итоге. Че за нафиг такой?
    У всех приходят — у меня нет. Я что — особенный какой то? За мной следят? )
    При этом на оба моих номера ктото пытается лезть в личный кабинет. Приходят смски с временными паролями, которые я не просил.
    На все эти «странности» один ответ — «нет информации»


    1. dom1n1k
      28.09.2018 13:11

      Я бы закрыл такой подозрительный аккаунт нафиг. Или нет, не закрыл бы, а просто положил в тумбочку и раз в полгода кидал на него 10 руб. А сам ушел бы на другой.


      1. joker2k1
        28.09.2018 13:13

        Да вот тоже нахожусь в раздумье, не хотелось бы уходить, но вынуждают.


  1. dartraiden
    28.09.2018 15:54

    старый номер обрел нового владельца, но по какой-то причине связка “номер и e-mail для отправки детализации” не обновилась
    Потому что новый владелец не интересуется получением детализации и не стал менять адрес почты, который ему достался в настройках от вас.

    То же самое бывает с банками, вы покупаете мобильный номер, а потом вам начинаются приходить SMS об успешных входах в личный кабинет. Потому что этот номер предыдущим владельцем привязан к онлайн-банку. Отвязать этот номер вы не сможете, для этого нужно присьменное заявление в банк от того, кто его привязала. В договоре с банком обычно прописано, что это обязанность клиента своевременно информировать банк о смене паспорта, номера телефона и т.п.

    В игру вступил Билайн, который продал мне чей-то номер. Хотя почему чей-то? Это был номер Ивана Александровича. Я долго привыкала, что мне звонят разные полупьяные личности и просят Ваню. Было довольно весело выслушивать о себе мнение его женщин, думающих, что я его новая пассия. Но Сбер пошел дальше всех. На протяжении всего времени, когда я владела картой этого замечательного банка (моей картой, на мое имя, подключенной к моему телефону), Сбербанк присылал мне остаток на счете Ивана Александровича. А так же предлагал кредиты, ипотеку и прочие плюшки для Ивана Александровича. Даже, один раз позвонили и обратились ко мне как к Ивану Александровичу. (Тогда я, примерно на середине разговора, вежливо указала менеджеру, что у меня другое имя и пол.)
    pikabu.ru/story/ivan_aleksandrovich_zaberite_svoyu_kartu_mir_5912895


  1. FSA
    01.10.2018 00:30

    Много лет назад в билайне была фишка — специальные номера, набрав на которые можно было узнать баланс любого номера. Интересно, подобная фича сохранилась? :-D