Comments 52
Меня больше удивило то, что при открытии сервиса с другого устройства используя телефон, как хотспот — авторизация не требуется. Реакция саппорта — this is feature, by design.
мда… а на прямую в службу безопасности, не дали связаться) как всё печально)
У «обычных» операторов колл-центра есть скрипты. Такие бумажки или программки с пошаговыми инструкциями что клиенту говорить и о чем спрашивать. Если возникает нестандартная ситуация, то хороший колл-цетнр должен переключать на специалиста, у которго своя голова на плечах. Проблема возникает когда «обычный» оператор не может отличить действительно серьезную «нестандартную ситуацию», и снова и снова зачитывает стандартные фразы вежливо отправляя клиента восвояси. Ведь если он слишком часто будет перенаправлять на «специалиста» ему за это спасибо не скажут.
Вот и меня оператор на первых порах пытался убедить, что такого быть не может, что нельзя телефон добавлять без СМС подтверждения.
Как работник колл-центра скажу, что работа оператора это шаблонно-монотонная работа. Да, количество шаблонов может быть разное, но с такими случаями не обращаются вообще, или обращаются очень редко. Тем более за частую в супортах сидят девушки, которые вряд ли понимают что Вы от них хотите за гранью обычных вопросов.
Собственно по этому я и сижу на Хабре, повышая свой уровень знаний. И действительно работает. В отсутствие старшего оператора\администратора, девочки за частую бегут ко мне со своими вопросами.
Собственно по этому я и сижу на Хабре, повышая свой уровень знаний. И действительно работает. В отсутствие старшего оператора\администратора, девочки за частую бегут ко мне со своими вопросами.
Колл-центр, который вероятнее всего попадает в департамент электронной коммерции Киевстара, вообще отдельная песня.
Однажды, на Украине, происходили «провайдерские войны» и все благополучно друг другу резали кабели. По итогу, в нашем доме — интернет от Киевстара пропал где-то на месяц. Ежедневно, я звонил в КЦ (а дальше пробиться — нереально), и операторы кормили меня завтраками, что «Вот вот, и сегодня после 18:00» все будет. Естественно, что ничего не происходило. И где-то на третьей неделе я написал заявление об отключении. Компания такого уровня, зная проблему (в данном случае — конкурентные войны), могла бы оповестить всех клиентов, которые попали под раздачу, или хотя бы тех, которые обзванивали КЦ ежедневно, что проблема массовая и связана с тем-то, ждите. А лучше создать смс рассылку, если профиле указан номер телефона (а он был указан, и связан с профилем). Да и вообще, месяц пробрасывать новые кабели — как то долго, для компании такого уровня.
Не говоря уже, о том, что в процессе, тот же КЦ звонил, и предлагал тариф 80 мбит по цене, которая выше той, что была у меня на тот момент, при пропускной способности в 100 мбит.
Совокупность факторов говорит о том, что в этом департаменте у них все очень печально. И это не упоминая постоянный смс-спам с текстом «Пополните счет на 70 грн, и получите бонус в 10 грн, которые можно будет потратить только после траты этих 70ти и всех ваших, но не позже трех дней»
Однажды, на Украине, происходили «провайдерские войны» и все благополучно друг другу резали кабели. По итогу, в нашем доме — интернет от Киевстара пропал где-то на месяц. Ежедневно, я звонил в КЦ (а дальше пробиться — нереально), и операторы кормили меня завтраками, что «Вот вот, и сегодня после 18:00» все будет. Естественно, что ничего не происходило. И где-то на третьей неделе я написал заявление об отключении. Компания такого уровня, зная проблему (в данном случае — конкурентные войны), могла бы оповестить всех клиентов, которые попали под раздачу, или хотя бы тех, которые обзванивали КЦ ежедневно, что проблема массовая и связана с тем-то, ждите. А лучше создать смс рассылку, если профиле указан номер телефона (а он был указан, и связан с профилем). Да и вообще, месяц пробрасывать новые кабели — как то долго, для компании такого уровня.
Не говоря уже, о том, что в процессе, тот же КЦ звонил, и предлагал тариф 80 мбит по цене, которая выше той, что была у меня на тот момент, при пропускной способности в 100 мбит.
Совокупность факторов говорит о том, что в этом департаменте у них все очень печально. И это не упоминая постоянный смс-спам с текстом «Пополните счет на 70 грн, и получите бонус в 10 грн, которые можно будет потратить только после траты этих 70ти и всех ваших, но не позже трех дней»
Мне вот банально интересно. Выше по ветке комментарий «У операторов все плохо» в плюсе. Ваш ответ «Да все плохо, но я, как оператор, стараюсь лично для себя с этим бороться» в минусе. Хабр — такой хабр…
Как вариант, попросить мобильный телефон этого оператора техподдержки и через пару минут продиктовать ей её персональные данные.
Это, возможно, убедило бы в важности проблемы.
Это, возможно, убедило бы в важности проблемы.
Такие действия нарушают закон о защите перснональных данных и закон о тайне переписки (если в персональных данных будет детализация звонков) и поэтому можно попасть под статью
Я как-то раз попробовал в чате Приват24 (онлайн банкинг Приватбанка в Украине) сказать, что светить полное ФИО по номеру карточки в процессе оформления перевода — не есть гут, так как можно номера карточек банально перебирать, так после описания этой, гм, проблемы — чат просто молча завершили с той стороны. Нарушает ли Приватбанк этот закон о защите персональных данных? :)
Согласно Закону Украины о Персональных данных:
«персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»
Я считаю, связка номер карты — ФИО не идентифицирует конкретного человека, поэтому не могут считаться персональными данными.
«персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»
Я считаю, связка номер карты — ФИО не идентифицирует конкретного человека, поэтому не могут считаться персональными данными.
А я вот, взяв за основу свою карточку, поменяв пару цифр получил ФИО незнакомого мне человека, загуглив которое я нашёл где она живёт, кем работает, за кем замужем и как зовут её детей. Мне осталось только нарисовать сайт-клон Приват24 и прислать ей на почту письмо ведущее на этот клон, где я получил бы её пароль и даже код из СМС. И всё благодаря полному ФИО владельца карты по её номеру.
Обычный гражданин разве обязан хранить чужие тайны?
Насколько я понимаю, если вы обнаружили на пороге своего дома коробку с кучей анкет клиентов банка, то вы можете публиковать эти документы, так как не вы обязаны охранять чьи-то персональные данные. Другое дело, если вы использовали какую-то уязвимость, чтобы получить к ним доступ. Тогда это уже нарушение закона.
Хотя нет, я неправ. В законе «О персональных данных» нашел следующее:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Продиктовать оператору её персональные данные точно не попадает под раскрытие или распространение.
А вообще интересно, как-то упустил, что оказывается персональные данные у нас охраняются строже чем гостайна. Найдя на улице пакет документов с грифом «Совсекретно» я имею полное право его публиковать.
А вообще интересно, как-то упустил, что оказывается персональные данные у нас охраняются строже чем гостайна. Найдя на улице пакет документов с грифом «Совсекретно» я имею полное право его публиковать.
… и зачастую у операторов стоит KPI «количество переключений на уровень выше», и их чуть ли не штрафуют за каждое такое переключение, если «уровень выше» скажет, что переключали зря и они должны быть решать это сами.
В свою очередь, бороться с этим пытаются, придумывая штрафы уже за каждый непропущенную внутрь серьезную проблему, но обычно они весьма неэффективны из-за того, что ответственность размазывается. Когда человек с «серьезной» проблемой ломился 15 раз и его отшивали 15 разных операторов первой линии — кого именно штрафовать?
В свою очередь, бороться с этим пытаются, придумывая штрафы уже за каждый непропущенную внутрь серьезную проблему, но обычно они весьма неэффективны из-за того, что ответственность размазывается. Когда человек с «серьезной» проблемой ломился 15 раз и его отшивали 15 разных операторов первой линии — кого именно штрафовать?
По своему опыту могу сказать, что вам еще повезло: вам ответила техподдержка, проблемы безопасности кого-то заинтересовали, уязвимость исправили, правда не дали вознаграждение.
У меня для всех сообщений об уязвимостях, отправленных в этом году, статистика такая:
50% компаний не ответили с первого раза на письмо в техподдержку.
25% компаний не ответили вовсе после нескольких напоминаний.
Несколько компаний прекращают переписку со словами «Если это заинтересует менеджера, он вам напишет». Среди них крупная российская CRM.
Порядка 30% компаний не исправляют уязвимости по той или иной причине (например, куча тех, кому я сообщал об уязвимостях в прошлом году, имеет точно такие же в этом).
Почти все, кто ответил и исправил уязвимости, не просят повторно проверить на их наличие. Ну да, разработчики, которые допустили серьезные ошибки безопасности, разумеется, знают, как их искать.
И только 10-15% компаний предлагают вознаграждение или сотрудничество. Вот это обычно приятно.
У меня для всех сообщений об уязвимостях, отправленных в этом году, статистика такая:
50% компаний не ответили с первого раза на письмо в техподдержку.
25% компаний не ответили вовсе после нескольких напоминаний.
Несколько компаний прекращают переписку со словами «Если это заинтересует менеджера, он вам напишет». Среди них крупная российская CRM.
Порядка 30% компаний не исправляют уязвимости по той или иной причине (например, куча тех, кому я сообщал об уязвимостях в прошлом году, имеет точно такие же в этом).
Почти все, кто ответил и исправил уязвимости, не просят повторно проверить на их наличие. Ну да, разработчики, которые допустили серьезные ошибки безопасности, разумеется, знают, как их искать.
И только 10-15% компаний предлагают вознаграждение или сотрудничество. Вот это обычно приятно.
> правда не дали вознаграждение
Возможно, я не очень хорошо Вас понял, но автор вроде как не говорил о том, что ему не дали вознаграждение. наоборот, сослался на bug-bounty программу, что наталкивает на мысль, что его все-таки отблагодарили.
Интересно только, как?
Возможно, я не очень хорошо Вас понял, но автор вроде как не говорил о том, что ему не дали вознаграждение. наоборот, сослался на bug-bounty программу, что наталкивает на мысль, что его все-таки отблагодарили.
Интересно только, как?
Да, отблагодарили. Подключили дополнительных 4000 ежемесячных мегабайт инетрнета на 3 месяца.
Вероятно, я неправильно понял последний абзац. При написании комментария я думал, что автор имеет ввиду, что компаниям стоит создавать открытые Bug Bounty программы, а не то, что у Киевстар есть такая программа.
Хотя, как автор написал в комментарии, ему не дали денежное вознаграждение.
Хотя, как автор написал в комментарии, ему не дали денежное вознаграждение.
UFO just landed and posted this here
Дали 3 мес интернета?
Это такое.
Вы им хоть пользовались ранее?
Буду знать, что уязвимости в КС не стоить репортить.
Кстати, находя уязвимость/баг у банка всегда спрашиваю есть ли у них программа благодарствий за это.
Ни у одного банка еще не было. :) Ну я им и не открывал тайну. Хотя 1 раз сказал, что стоило бы добавить переадресацию с http на https в ИБ Альфабанку. Но прошло уже несколко лет, а воз и ныне там.
Писал тут статью о дырах Дельтабанка, ее не пропустили, хз чего, банк-то уже был в стадии ликвидации, ИБ там не работал.
Нашел дыру у хостинга. Дали год хостинга. Дыру не исправили. :)
У нас в компании легко достучаться по проблеме веба. Один клиент даже генеральному недавно пожаловался, что его баг долго фиксили. :) Некоторые баги дейтсвительно не воспроизводятся, а иногда КЦ/ТП передают разработчикам некорректную информацию :)
Это такое.
Вы им хоть пользовались ранее?
Буду знать, что уязвимости в КС не стоить репортить.
Кстати, находя уязвимость/баг у банка всегда спрашиваю есть ли у них программа благодарствий за это.
Ни у одного банка еще не было. :) Ну я им и не открывал тайну. Хотя 1 раз сказал, что стоило бы добавить переадресацию с http на https в ИБ Альфабанку. Но прошло уже несколко лет, а воз и ныне там.
Писал тут статью о дырах Дельтабанка, ее не пропустили, хз чего, банк-то уже был в стадии ликвидации, ИБ там не работал.
Нашел дыру у хостинга. Дали год хостинга. Дыру не исправили. :)
У нас в компании легко достучаться по проблеме веба. Один клиент даже генеральному недавно пожаловался, что его баг долго фиксили. :) Некоторые баги дейтсвительно не воспроизводятся, а иногда КЦ/ТП передают разработчикам некорректную информацию :)
«Дали 3 мес интернета?»
«Буду знать, что уязвимости в КС не стоить репортить.»
Ссылку на этот камент необходимо передать начальнику безопасности Киевстара ;)
krimtsev, вы же можете с этим помочь?
«Буду знать, что уязвимости в КС не стоить репортить.»
Ссылку на этот камент необходимо передать начальнику безопасности Киевстара ;)
krimtsev, вы же можете с этим помочь?
я работник немного другого колл-центра и с Киевстар никак не связан
а мне уже в карму заминусовали там))
а мне уже в карму заминусовали там))
На самом деле, меня немного удивляет подобный подход компаний. Давайте дадим подачку или проигнорируем сообщение, а потом удивимся, что над нашей безопасностью смеются.
Например, возьмем «абстрактную» компанию «СуперПуперМегаПланирование», которая разрабатывает, предположим, CRM. И пусть ее панель управления насквозь дырявая. Один исследователь решил сообщить, но его проигнорировали. Другой тоже решил сообщить, и тоже получил молчание в ответ. И какой-нибудь десятый напишет статью «Почему СуперПуперМегаПланирование — решето» и открыто опишет все уязвимости. В результате компания получит серьезный удар по имиджу, программисты будут вынуждены экстренно писать заплатки, плюс куча злых хакеров может украсть данные и найти еще более серьезные дыры. Почему нельзя нормально ответить первому исследователю, выплатить ему 10-20 тысяч и поблагодарить? Что за слепая надежда, что все будет хорошо?
Например, возьмем «абстрактную» компанию «СуперПуперМегаПланирование», которая разрабатывает, предположим, CRM. И пусть ее панель управления насквозь дырявая. Один исследователь решил сообщить, но его проигнорировали. Другой тоже решил сообщить, и тоже получил молчание в ответ. И какой-нибудь десятый напишет статью «Почему СуперПуперМегаПланирование — решето» и открыто опишет все уязвимости. В результате компания получит серьезный удар по имиджу, программисты будут вынуждены экстренно писать заплатки, плюс куча злых хакеров может украсть данные и найти еще более серьезные дыры. Почему нельзя нормально ответить первому исследователю, выплатить ему 10-20 тысяч и поблагодарить? Что за слепая надежда, что все будет хорошо?
потому что очень часто в руководстве сидят «начальники», а не «руководители», которые больше волнуются за финансовые потоки, чем за какой-то там код, ведь у них же работают тыжпрограммисты, которые обязаны все делать отлично — им же деньги платят. Таков образ мышления начальников.
А еще, у компании может просто отсутствовать такая строчка в бюджете, как выплата каких-то там наград посторонним людям(!), которые что-то там сообщили.
Разумеется, у компании может отсутствовать такая строчка в бюджете, хотя я не верю, что есть хотя бы одна компания, которая не может предложить вознаграждение в несколько тысяч или дать хорошую скидку и подарок (не путать с купоном на кофе или скидкой в 10% на один месяц). Другое дело, стоит ли игнорировать сообщения или писать «Мы ничего не даем» (дословно)? 9 человек проглотят подобное и уйдут, а один может продать уязвимость или просто опубликовать в выходные.
M-A-XG, а напишите, пожалуйста, мне в личку/профиль.
Было интересно, спасибо!
При этом в личном кабинете доступны услуги: «Переадресация SMS» и «Переадресация вызова».
В профиле иногда можно найти ФИО, адрес, дату рождения, email.
Это позволит перехватить управление над куда более критичными сервисами, чем ЛК оператора.
В профиле иногда можно найти ФИО, адрес, дату рождения, email.
Это позволит перехватить управление над куда более критичными сервисами, чем ЛК оператора.
Сегодня заинтересовался таким вопросом: предположим, какая-то компания игнорирует сообщения об уязвимостях. Если я публикую информацию об этом и описание уязвимостей через те же две недели, я нарушаю какие-либо законы или правила?
>> Так же у них недавно была запущена новая версия личного кабинета
Союз «также» пишется слитно.
Простите, но режет глаз.
Союз «также» пишется слитно.
Простите, но режет глаз.
Поддерживаю автора поста, мое виденье на ситуацию — Почему в Украине нет белых хакеров или история взлома Киевстар
Sign up to leave a comment.
Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина)