Comments 77
Есть два интересных результата:
1) Для доступа к достаточно большому количеству аккаунтов и денег (?) достаточно уметь копировать-вставлять номера, плюс надо потратить 200 рублей в ближайшем офисе Теле2.
2) Довольно много из этих номеров уже недоступны для покупки, что заставляет думать, что у достаточно большого количества людей аккаунты уже привязаны к номерам, которыми пользуются другие.
Пользуюсь случаем: наверняка эту статью будут читать люди из Теле2, поэтому напишите мне, если вы хотите обсудить несколько уязвимостей (часть довольно серьёзных, доступ к аккаунтам пользователей в других сервисах через Теле2). Как-то не хочется общаться с бесполезной поддержкой или isecure@, которые не отвечали больше полугода, а потом написали и спросили, что я нашёл.
плюс надо потратить 200 рублей в ближайшем офисе ТелеИ предъявить паспорт, что уже несколько отбивает охоту атаковать чужой мобильный банк. Хотя, если озаботиться хорошей подделкой или нанять для этой цели подставное лицо…
Теле2 тут странно винить. Да и что они могут сделать в данной ситуации? Не продавать бесхозные номера? Можно лишь посетовать на безаларность пользователей. Сами виноваты.
Вы вообще читали комментарий, на который я отвечала?! Где там слова "личный кабинет"? Речь о привязке номера к банку, к аккаунту ВК и мессенджерам. Тут оператор-то что может поделать?!
Вы правы только в том, что один Теле2 тут точно не причем, тут целиком вся система хромает. И периодические новости о мошенниках ни каким образом не приближают проблему к её решению.
Может они могли бы выработать такую инструкцию:
- как только номер становится "бесхозным", они автоматически отправляют уведомление в топ30 банков, сервисов и пр.
Тогда банк, увидев такое уведомление, сравнивает со своей базой и если находит совпадение — уведомляет клиента, что он не отвязал свой номер.
Да и операторы вряд ли захотят брать на себя ответственность за оповещение ТОП-сервисов/банков (по крайней мере, бесплатно).
Так они мне потом в ЛК показали все услуги нового абонента и даже лицензионный код для активации касперыча, который тот абонент у них купил.
Саппорт тупо в отказ шел и даже с трех попыток завести багу не удалось через них, забил (я у них все уже отключил, и подключать не планирую).
Звоните им раз в неделю, накажите рублём, так сказать…
Из последних интересных кейсов это были aliexpress (я зашел и заблокировал этот аккаунт) и электронный ОСАГО (позвонил по указаному номеру, обещали удалить из базы). Также не без приключений и при помощи службы поддержки был удален Apple ID.
Что касается банков и других ФУ, то все попытки договориться с их службой поддержки приводили к просьбе прислать скан моего паспорта (и были посланы, само собой).
Я это к чему пишу. Налицо полное всеобщее пренебрежение к правилу «проверяй e-mail, который тебе предоставил клиент на валидность». Даже (кто бы мог подумать) Apple.
1) Одна компания при регистрации не проверяла почту, поэтому можно было регистрироваться с любой незанятой. При этом они по адресу почты подгружали документы, где эта почта использовались как контактная. Можно было собрать очень неплохую базу с паспортными данными и другими ценными вещами.
2) Другая компания пыталась честно проверять почту, но они отправляли ссылку, которая просто подтверждает адрес, указанный в личном кабинете. Указываешь свою почту, получаешь ссылку, меняешь адрес в личном кабинете, проходишь по ссылке, подтверждаешь новую почту. При выборе удачной почты получаешь доступ к аккаунту пользователя на остальных сайтах системы.
Установил как-то дома спутниковую антенну (дом довольно старый и на тот момент во всем доме не был проведен кабель ни для интернета, ни для телевизора, а комнатная антенна ловила два с фигом канала). И опять же по «счастливому» стечению обстоятельств при покупке телевизора дали в «подарок» пакет НТВ-плюс. На всем протяжении сотрудничества с ними они меняли тарифный план БЕЗ уведомления пользователя ни по почте, ни в личном кабинете: с 59 рублей в месяц стоимость за 1,5 года выросла до 289 рублей! Помимо этого они снимали деньги со счета за какие-то левые услуги. В какой-то момент спутник перестал показывать и вызвав мастера НТВ-плюс, вместо бесплатного осмотра и ремонта (как у того же ростелекома), они сказали, что оборудование устарело и конечно же его нужно срочно менять за 8к!!! Тут то мы с ними и распрощались. А чтобы завершить с ними договор, нужно было отправить им на ПОЧТУ (не электронную, а прости господи бумажную) заявление (на почту, Карл) с письменным заявлением на расторжение договора, а также карту абонента! Иначе штраф 550р!!!
Сейчас у всех опсосов тарифы на 100500 гигабайт в месяц за 500р-600р. Теле2 держится, со своими 8ГБ за 300. А мне нужно 2 ГБ за 100 и, уверен, не только мне. По факту я плачу за то, чем не пользуюсь.
О, проверил, у них теперь можно 3 ГБ за 200р и 1ГБ за 120р купить. Отлично.
А мне нужно 2 ГБ за 100 и, уверен, не только мне.
И что? А мне нужно за 50 рублей 100 Гбайт. Но законы рынка никто не отменял. Опсосам просто не выгодно поддерживать такие тарифы (читай невыгодно = они на вас теряют деньги, а не зарабатывают хотя бы 1 рубль).
В среднем, оператору нужно брать с абонента
как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать. Дешевле — это уже получается "связь за счёт оператора".
Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.
И что? А мне нужно за 50 рублей 100 Гбайт.
Не надо передергивать. Я хочу меньше за меньшую стоимость.
В среднем, оператору нужно брать с абонента как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать.
В среднем пускай зарабатывают, конкретно я тут причем? Можно пруф с расчетами? А то я могу написать, что опсосу достаточно 50р в месяц в среднем с абонента.
Дешевле — это уже получается "связь за счёт оператора".
Пруфы, пожалуйста.
Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.
Уже нашел у того же Теле2 3 ГБ за 200р и 1ГБ за 120р. Что сильно отличается от 500р-600р. Эти тарифы введены недавно, что говорит о том, что все ваши умозаключения далеки от реальности.
FYI Если регион Москва: МГТС Смарт для своих 8гб/500 мин/500смс за 250 рублей (раньше было 200 рублей за 5/500/500,). Получить данный тариф просто — переходите к ним со своим номером от другого оператора.
Но вы можете проверить очень просто: подключите тот же тариф, который вам советуют выше. Вот вам 200 рублей в месяц. Это ниже планки, через 2-3 месяца вам начнут подключаться условно бесплатные подписки, чтобы донабрать до 300р. И это не закончится, пока у вас такой дешёвый тариф. Вот вам и будет пруф.
Я уже полтора года на пчелайне сижу на обычном тарифе без пакета ненужных мне минут и т.д. Расходов в месяц на звонки 50р-100р, дату не использую, у них тарифы совсем безумные. Ничего ко мне не подключается. Звонят только регулярно и пытаются впарить ненужное. Так что, не работает ваша теория. Проверенной информацией по этому вопросу могут обладать только топы, а вашему инсайдеру просто ездят по ушам, пытаясь его заставить еще чем-нибудь клиентов осчастливить.
Со следующего месяца в еле2, который для интернета использую, тоже с 320р за 7ГБ переключусь на 1ГБ за 120р. И есть подозрение у меня, что никто мне ничего левого подключать не будет.
Мне вообще за 18 лет пользования сотовой связью у разных опсосов в разных городах никто никогда никаких левых подписок не подключал.
И вишенка. Тариф не для европейской части России. То есть с региональной наценкой. Иначе было бы еще дешевле. Интернета правда нет. Совсем. 0 мб.
Хм. У знакомых Skyway уже лет 7 работает. Нафига менять?
Зашел на ОК, пароль, естественно, забыл, выбрал восстановить, ввел почту, которая у меня с незапамятных времен, пришло сообщение, я сбросил пароль и что я вижу? Страничка молодой черной девушки из какой-то африканской страны, в данных стоит что студентка, живет в Москве, по русски не разговаривает. И что странно — в профиле нет привязанного адреса почты, только телефон! Никакие уведомления на мою почту не приходили. Почему ОК дал мне доступ к этой учетке — непонятно.
Прошел месяц — ничего не исправлено и никто повторно со мной не связывался.
Не стоит надеяться на столь быструю реакцию. Современные операторы это неповоротливые динозавры. Такие процессы могут идти многие месяцы, особенно, если требуются какие-то существенные доработки.
Раз пошла такая пьянка, давайте расскажу об ошибке, которая 3 года назад, надеюсь, сейчас закрыли, позволяла наоборот нагреть теле2. Надо было вывести 15 тыс с карты, и единственный способ был на моб оператора. Вывел на свой номер теле2. Оттуда можно было уже на карту, но то ли процент был большой, то ли лимиты, короче, нашел что без процента можно вывести (или это называлось ошибочный платеж), на банк счёт, но надо идти в офис, писать заявление, ждать дня 4. Сходил, написал, через дня 4 на рас. счёт приходят 15 тыс, но при этом баланс на номере тоже 15. Ладно думаю, не обновилу инфу, подожду. Прошло 2 раб дня, баланс телефона по прежнему 15. Стало интересно: онлайн вывел ещё раз 15 тыс на карту, деньги пришли. Итого, из 15 тыс у меня получилось 30. Через день-два после второго вывода звонит девушка, говорит вы получили 15 тыс на счёт? Я вижу вы и второй раз выввели, верните пожалуйста 15. На вопрос как так, и что это потенциальная схема для мошенника, ответила что мы ждём пока деньги точно не придут на счёт, бывают ошибаются в реквизитах. А так да, типа вы же честный, верните. Я конечно вернул. Но уверен, что кто-то схему с подставным лицом провернул, и удалил свои вложения.
Так что большая проблема привязка номера телефона куда либо.
habr.com/ru/post/458932
А в чем проблема? Ну пошумят лохи в интернетах, их никто не послушает, все затихнут.
Имхо, в России отсутствует спрос на приватность и защиту от своих данных. Можно за 600-1000 рублей купить паспортные данные и данные об истории звонков клиента мобильного оператора? Всем наплевать, нет никаких действий. У банков текли данные о балансах и истории операций? Опять же, всем наплевать, лучше обсуждать тухлятину в магазине и крыжовник. Миллионы аккаунтов ВК можно было взломать, просто прочитав новости на английском и выполнив действия оттуда? Результат известный. Телемедицинские системы дырявые, как решето? Заткнись, тут интересная скидка появилась.
Пока компании и конкретные сотрудники не будут реально наказываться за проблемы с приватностью, ее у нас не будет. Можно только спорить в интернетах и разочаровываться, что я сейчас и делаю.
Вышла эта статья, собрала кучу плюсов и обсуждений. Но при этом я почти уверен, что никто не написал в Теле2 вопрос «Какого хрена вы так плохо работаете?» Даже самого тупого кодера не лишат хотя бы премии, ведь фичи пилятся, юридических проблем нет, все хорошо. В первом комментарии под статьей я написал о том, что есть серьёзная уязвимость, предложил связаться со мной. За два рабочих дня никто это не сделал, зачем?
Со мной после публикации заметки вышли на связь (сказав что из Теле2) и уточнили некоторые технические детали.
Про Bug Bounty: более того, кажется, куча компаний не понимает, что они пытаются заигрывать не с котёнком без когтей, а с хакером, у которого есть выбор. Условный ВК реально считает, что я понесу следующую серьёзную уязвимость к ним, а не куда-то ещё. Я-то никуда не понесу, но и им не отправлю, а вот другой хакер, который прочитал о том, что на его сообщение могут отреагировать настолько неоднозначно, продаст ее на чёрном рынке, чтобы получить реальные деньги, вместо возможных «up to N USD».
Как видно, повторить процедуру захвата управления чужим номером Теле2 несложно, главное уметь ждать :). Так что не удивляйтесь, если ваш телефон начал активно делиться гигабайтами с незнакомыми номерами без вашего ведома.
Банальная ошибка.
Будто бы вы в вашей работе их не допускаете?
А уж раздули, раздули. Желтизна в заголовке — а по сути ничего.
Что значит «захватить номер просто — нужно только уметь ждать»?
Чтобы захватить случайный номер случайного человека?
Да и карма у вас что-то не очень, так что остальное комментировать думаю не стоит — зачем кормить тролля?
Переходил со своим номером от другого оператора, значит не в группе риска!)
Теле2 в Мск, после каждого пополнения баланса на экране телефоне (iphone 8+) вылезает даже на заблоченном экране предложение подписаться на гороскопы или типа того, за жалкие 7р/день.
Как-то от этой замечательной возможности можно отключиться? Спасибо.
Был у меня красивый, но не сильно нужный номер (четыре нуля и все дела...). Время от времени я его пополнял, иногда забывал и приходилось проводить разблокировку в офисах обслуживания. Пароль от ЛК был установлен. Однажды, зайдя в ЛК для проверки, обнаружил там чужие ФИО (и похоже, что регион тоже сменился). Так уже 2 года. Вот только что проверил — до сих пор пускает.
(Не актуально, починили) Заметка. Как Теле2 делится доступом к личному кабинету новых абонентов