Comments 217
не дыра, а ДЫРИЩЩЕ!
Если предположить гипотетическую ситуацию, когда у меня есть конкурент, использующий МТС для общения с клиентами, а я прекрасно знаю его ФИО и не только, то подобная брешь позволяет мне легко сформировать детализацию звонков за последние 1–3 года и отправить её себе на почту. Слитая клиентская база - это уже совсем не шутка.
Очень маленький процент микробизнесов использует телефонию. Хотя, возможно, слить детализацию с "бизнес"-номера можно аналогично. По крайней мере, из ЛК я могу указать любую почту для отправки. Но, наблюдая, как работает их поддержка в B2B, скорее всего, человеку на том конце провода будет просто впадлу что-то делать
Да и есть более бытовые варианты. Узнать, с кем общается ваш супруг/супруга. Или просто девушка, которая кинула вас в ЧС после первого свидания, а вы, aka сталкер, её кошмарите и продолжаете за ней следить. Последний кейс осуждаем, но люди разные бывают
В тексте автор больше суеты наводит, чем показывает реальные кейсы. Получилось ли что-то подключить? Хотя на счёт этого есть косвенные доказательства ниже в комментах. Получилось ли запросить детализацию не на привязанную почту? Получилось ли что-то изменить? Почему бы не провести эксперименты на собственном номере и написать статью уже с фактами? Что именно автору слили в 2019 году?
Я не имею отношения к МТС и, более того, презираю их за множество косяков, но без ответов на эти вопросы это больше похоже на "крики белки-истерички", как писали ниже. Но это лучше, чем ничего. Одно дело - говорить, что сделайте так-то, и вы сможете получить условную детализацию, а другое - я сделал так-то и получил детализацию на левую почту, позвонив с левого номера и сообщив только вот такие данные, и у меня есть вот такие-то доказательства. Тут уже и МТС стандартными отписками не отделается, если решат что-то ответить вообще
" Слитая клиентская база - это уже совсем не шутка."
Так большая тройка давно на этом бизнес делает. Есть сервисы, которые совершенно легально сливают все звонки на целевые номера.
Есть ощущение, что не хватает пруфов и конкретных экспериментов в статье, но автор, возможно, просто не стал проводить эти эксперименты, чтобы не попасть под статью о неправомерном доступе к информации. Он обозначил вектор атаки, а проверять его на себе - уже дело рискованное
Я не хочу раскрывать всех деталей. А их, поверьте, достаточно много. Я могу их озвучить представителям компании под NDA.
Есть другие законы, которые я тоже обязан исполнять, когда публикую чувствительную информацию. Я указал вектор опасности. Далее компания сама принимает решение об аудите и устранении. Если они посчитают это необходимым.
Выкладывать все public не всегда корректно. Иногда даже опасно. Там есть и более серьезные проблемы. Но пока не хочу их озвучивать. Пусть с этим разберутся сначала.
А почему не отправите эту информацию в РКН? Пусть хотя бы иногда занимаются чем-то полезным )
Я отправляю. В ТГ-канале разбираю их ответы. Пока это похоже на жалобы в спортлото)) Они там не делают примерно ничего с точки зрения контроля.
Написание жалобы во многие надзорные органы часто выглядит труднопроходимым квестом. Видимо изначально так было задумано. Как и последующее перенаправление в долгий ящик всех этих жалких обращений от людишек.
Моим клиентам перезванивали от моего имени и выставляли счета на организацию с таким же именем как у меня, только под другим адресом регистрации, но кто это проверяет? Так вот когда клиенты начали меня спрашивать, а где же оборудование, понял что мои контакты воруют. Я тогда использовал Мангоофис. В общем я попросил всех своих знакомых позвонить на рабочий номер и каждому из них через пару дней перезвонили аферисты от моего имени, якобы они интересовались моим оборудованием. Написал жалобу в манго и поменял телефонию. Проблема ушла. Кстати манго ответили, что у них все хорошо и это я все придумал.
У МТС не дыра в безопасности, а дыра в опасности!
Господа, вы в 2025м году, ну какие тайны?)
При чём тут тайны? В статье же написано: "вытворять с номером все, что он захочет. Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг". Лично я не желаю, чтобы кто-то подключил мне платную подписку.
Лично я не желаю, чтобы кто-то подключил мне платную подписку.
Ваши желания - ваши проблемы (с)
Лично я не желаю, чтобы кто-то подключил мне платную подписку.
Для этого посторонний не нужен. Сотовые операторы это делают сами, чтобы вам не беспокоиться.
Ключевая проблема вот какая- никакой номер никому не принадлежит на самом деле. Вот и всё)) А вот если бы номер был личным, тогда можно было бы выбирать оператора обслуживания, в любой момент от них отключаться, переключаться и тд. Сейчас набегут люди, которые не увидят разницу между тем что я сказал и текущим положением вещей, вангую просто.
Не совсем понял, что вы имеете в виду.
У вас есть личный номер - номер паспорта. Еще есть ФИО+ДР, этот идентификатор принадлежит вам?
Почему именно телефонный номер должен вам принадлежать, а не IPv6 например? А еще лучше RFID метку в загривок вшить и продублировать человекочитаемой татухой ))
Но какую проблему то мы решаем?
Номер паспорта не уникален. ФИО+ДР не уникальны. По IPv6 не производится аутентификация. IPv6 не является обязательным в современном мире. RFID сложно использовать для аутентификации на сайтах.
Что ВЫ имели в виду?
Я ничего не имел.
Я вопросы задал, поскольку не понял, что хотел сказать @Dacom_777 И в контексте обсуждения поста, не понял как вечная привязка номера к человеку влияет на описанную уязвимость.
Если вести речь об уникальных идентификаторах, есть например отпечаток пальца. Он достаточно уникален и всегда при себе )) Правда в случае компрометации, его нельзя заменить. И побежали сдавать биометрию не только лишь все, хотя это ведь так удобно и классно )
Хорошо, пусть мы в качестве такого идентификатора будем использовать номер телефона. А на какой территории он будет валиден? Только в одной стране или по всему глобусу? Или быть может только в рамках одного опсоса? А каков процесс передачи идентификатора от умершего человека к новому? Хотя какая передача, он же должен быть уникальным.
Кажется номер телефона не лучший кандидат на эту роль, у него лишь один плюс — он уже сегодня широко применяется в качестве идентификатора.
Нынешние реалии таковы, что телефонный номер необходим. И речь о том, что номер, хотя бы один, должен быть прибит гвоздями к человеку без возможности отобрать просто так за неуплату.
При чём тут трансграничная идентификация? У нас и локальный паспорт, и прочие идентификаторы строго локальны.
И речь о том, что номер, хотя бы один, должен быть прибит гвоздями к человеку без возможности отобрать просто так за неуплату.
Это лишь самую чуточку лучше. И потянет за собой всякие заплатки, призванные запретить человека по этому телефону задалбливать.
Бить штрафами и регулированием те сервисы, которые решили прировнять номер к человеку и не задействовали дополнительные средства аутентификации - будет гораздо продуктивнее. Они же есть - пользуйтесь.
Помимо продуктивности, есть ещё параметр "простота исполнения" и параметр "востребованность". Если 99% потребителей не используют ТОТР даже там, где он есть, то внедрять его повсеместно - непродуктивная трата ресурсов. Полезная, но непродуктивная. И в целом решает другую проблему.
Прибить гвоздями гораздо легче, требует несравнимо меньше усилий и затрагивает гораздо меньшее количество интересов, чем штрафование. И вот одно время я думал пободаться с Открытием и мониторил тему. Почти каждый месяфц ЦБ выписыывал ему штраф, Открытие платило, но не устраняло. Ровно то же самое будет и с "бить штрафами и регулированием"
Прибить гвоздями гораздо легче, требует несравнимо меньше усилий
Я вот сильно не уверен. Это неплохая такая бюрократическая машина задействована и всякие интеграции. Фактически - этот номер надо в паспортном столе выдавать и всем причастным потом интерфейс давать (про номер паспорта, кстати, есть такой? Помнится, даже про проверку действительности паспорта есть некие проблемы).
В идеале - вписывать в свидетельство о рождении, в паспортном столе уже поздно. Но это в идеале. В реальности всё то же самое, что и сейчас, только человек сам на госуслугах выбирает основной номер, и этот номер опсосу запрещено отзывать. Первоначальная цель - чтобы у человека был неотзываемый прибитый номер.
Есть случаи, когда люди хотят порвать со своей прошлой социальной жизнью и меняют телефонный номер. Согласен, что в этом случае человек заморачивается и переносит свои аккаунты на другой номер, что ж, новая жизнь того стоит. Теперь, как формально с идеей основного номера это проводить? Разрешить любое количество раз менять основной номер? Возникнут технические нюансы.
Только в момент переноса. Решаемо.
Главная идея - чтобы опсос не мог отцепить номер от человека. После переноса флажок переставляется на новый номер. В процессе переноса - ну, например, ещё флажок "временный номер"
Есть ещё случаи, когда люди имя меняют. А некоторые меняют паспорт даже без смены имени. А это основной идентификатор в любом учреждении. Как то вот живем все ещё.
Ну, основным и трудноменяемым идентификатором в РФ является СНИЛС. Причины смены ИНН и паспорта - достаточно тривиальны и законны (я, например, в начале нулевых менял ИНН по легальной тогда ещё причине "смена пола" - мне, при первичном оформлении ИНН, каким-то чудом в графе "пол" указали "женский", а паспорт вообще несколько раз менять надо по возрасту).
Номер паспорта не уникален, а вот сочетание серии и номера - да. И для идентификации используют то и другое сразу.
Никогда не понимал это странное деление на серию и номер. Может я просто не застал времена когда это было важно, но для меня всегда номер паспорта — это те 10 цифр которые указаны на каждой странице. Тем более и записаны они подряд.
Можно так же и на кредитке первые 6 цифр считать серией, а остальные номером карты, но зачем?
Первые 2 цифры серии - код региона выдачи, вторые - примерно(!) год выдачи. А номер - это просто номер.
Спасибо, буду знать.
Но я немного о другом говорил. Например у ВУ тоже первые 2 цифры - это регион выдачи, как у ИНН 2 цифры регион, следующие 2 - код подразделения налоговой. В СНИЛС последние 2 цифры - контрольная сумма.
При всём этом никто не просит "введите серию и номер ВУ" или "введите СНИЛС и контрольную сумму". Везде просят просто номер документа и человек вводит его целиком. Только с паспортом какая-то дичь творится ))).
Традиции... У вас ведь тоже есть имя, фамилия, отчество. Одна большая хоть и не уникальная строка. А в ней уже зашифрована принадлежность семье, производителю, условно региону/стране, вероятный пол. И представляясь только частью строки можно сильно терять уникальность, либо скрывать часть своих признаков.
Ну, когда-то у паспорта была буквенная серия (VIII-СБ, до сих пор свою помню) и шестизначный номер. В какой-то момент "серию" сделали числовой, но дабы не переделывать хренову гору интерфейсов и баз данных, формальное разделение сохранили. Мне, по крайней мере, так видится. Ну и в некоторых интерфейсах уже встречается представление без разделения на серию+номер.
Это артефакт из СССР, там между серией и номером ставился символ "№", поэтому было чётко видно, что непосредственно номер - только вторая часть.
Номер паспорта может и не уникален, но вместе с серией как раз уникален. И номер всегда с серией указывается.
Тоже хотелось бы чтобы у каждого гражданина был личный мобильный номер закрепленный за ним на всю жизнь, дополнительные - по желанию. А этот чтобы переоформить было нельзя вообще.
Что делать с этими номерами при смерти гражданина?
Почему именно "личный мобильный номер"? Почему не иной идентификатор?
Очевидно, что оставлять закреплёнными за мёртвым гражданином. Иначе вся личная и банковская информация, все привязанные сервисы сольются тому, кто получит этот номер.
Очевидно, что оставлять закреплёнными за мёртвым гражданином.
Разрядности не хватает. Номера банковских карт и СНИЛС не зря такие длинные.
Плюс, телефонная маршрутизация, кажется, не рассчитана на такое издевательство. Небольшое количество перенесших номер на другого оператора как-то работает, а вот чтобы это было массово - есть некие сомнения.
Возможно, стоит сделать номера длиннее. Первоначально, когда телефонная сеть создавалась, перед создателями не стояло такой проблемы, что на номер телефона столько всего чувствительного понавешано. Но сейчас проблема есть. А номер телефона всё так же легко теряется, как и раньше, когда от него ничего не зависело.
Ну как легко, должно пройти 120-180 дней с момента последней платной услуги чтобы оператор разорвал договор (предварительно списав все деньги со счета), а потом ещё 90 дней периода охлаждения - пока номер не попадет в продажу. Конечно не очень большой срок, период охлаждения можно и до пары лет было бы продлить, но и 210 без использования телефона - это достаточно солидно
Ну, на полгода загреметь в больничку - более, чем реально, а уж в иные места, где использование мобильных телефонов под большим вопросом - вообще "не зарекайся" (вон, мой бывший коллега третий год с белорусского номера только общается). Так что к сроку есть масса вопросов. Да и к успешности восстановления на прежнего владельца из "периода охлаждения" - есть ряд вопросов...
Почему именно "личный мобильный номер"? Почему не иной идентификатор?
Гражданину необходим некий личный девайс, на котором будет отображаться код авторизации, когда он будет заходить на сайты под "иным идентификатором". Быстро всем раздать такие девайсы невозможно. А телефоны есть практически у всех.
Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 31.07.2025) "О связи"
Статья 63. Тайна связи
1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.
Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.
4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.
Ну Вы бы еще Конституцию стали цитировать /s
а) напиши жалобу в надзорный орган
б) подай на них в суд.
Да ты указал им, но если ноль реакции. И нет смысла вызвать к совести. Есть другие способы решения.
По моему, звучит исключительно как издёвка.
А ещё есть пакет Яровой.
Как там было, законы не заповеди и не скрижали, и идут лесом?
Сейчас в банковских приложениях (альфа, ВТБ) появилась информация "у Вас долг перед билайном столько-то". Т.е. им уже даже без палева показывать, что тайна договора абонента и сотового оператора - не тайна вовсе. И банк говорит - у нас в договоре с вами есть мелкого шрифта пункт, что мы можем о вашей активности и действиях по договору с сотовой компанией получать информацию - вы же сами нам право дали!
Замечу, это не да/нет пункты, это стандартная часть договора. Те отказаться попробовать можно, но юристы банка не согласны.
Да, меня это тоже удивило в свое время. У Вас есть ссылка на полный текст правил, на которые они ссылаются?
Именно так! ВТБ подсовывает договор на кредит/кредитную карту, где впечатан пункт "Клиент даёт согласие на получение банком любой информации по указанному клиентскому номеру от оператора сотовой связи, включая баланс, список звонков, продолжительность, даты и суммы зачислений и списаний, подключаемые услуги и прочее без ограничений". И рядом ещё галочка в квадратике - тоже уже впечатанная за клиента.
Спросил, есть ли у них бланки без этого пункта - "Нет". Спросил, если я вычеркну эту дрянь - заверят ли они такое исправление подписями и печатями в договорах обеих сторон - "Нет".
Я им сказал, что они охуели, и подписывать не стал. Обойдусь без их кредитки.
И эти люди спрашивают зачем нужно несколько разных sim'ок.
Да затем же зачем SimpleLogin (и Apple'овский HideMyEmail и прочие аналоги).
В том числе от таких вот любителей получать согласие.
О_о спасибо, добрый человек. А я чуть было не получил у них кредитку. Вычёркиваем!
Это Вы еще не попробовали в ВТБ шаблон договора забрать домой "изучить". У них воздуха начинает не хватать сотрудникам дышать, начинается спектакль "рыба на дереги", а потом следует "нельзя, почему - не скажу, но нельзя!"
Это они боятся, видимо, повторения истории с "Тиньковым", когда один ушлый клиент забрал договор, дома его перепечатал, внеся исправления в кабальные пункты, напечатанные мелким-мелким шрифтом, и пришёл обратно, где успешно подписал. :)
С другой стороны, если на сайте или в зале банка нет образца договора - значит, пытаются нае...!
С другой стороны,
если на сайте или в зале банка нет образца договора - значит, пытаются нае...!
поправил, не благодарите
На каждой странице договора должна быть цифровая подпись этой страницы в связке с соседними. Это же находится в публичном месте доступном для скачивания и отправки на проверку подписи. Если клиент обнаруживает свою подпись под текстом на бумаге, которого тогда не было когда он изучал талмуд дома на сайте, то он доказывает, что он подписывался только под тем, с чем совпадает подпись. В банке - никакой суеты. Достаточно светить, что титульная/финальная подпись документа совпадает с той, которая стоит на изученном многостраничном документе. В таком сценарии невозможно подсунуть на подпись документ с измененной страницей. Вернее, можно, но сверка цифровых подписей с опубликованным оригиналом не пройдет.
То же самое можно делать с индивидуальными договорами - сначала он фиксируется у "цифрового нотариуса", а затем идет подпись уже не заморачиваясь на вычитку бумаг - достаточно совпадения цифр на листе подписей с нотариальной цифровой копией.
Возможно, такое уже есть. Не осведомлен настолько глубоко, и как простой житель с этим не сталкивался.
Для реализации такой схемы у клиента должен быть свободный доступ к подготовленному для него проекту договора, причём, за пределами офиса. Банки же исходят из схемы давления на клиента, когда создается ситуация «всё или ничего, пять минут на принятие решения». Банкам не нужен клиент, который вычитал договор, вероятно, проконсультировался с кем-нибудь, осознал все риски, немаловероятно, предложил свои изменения к содержанию. Им нужен такой, который подписывает то, в чем не понимает ровным счётом ничего. В идеале, не читая вообще.
Это помимо риска подписания банком договора в версии клиента без вычитки, конечно же.
Ну, не знаю - я в А оформлял потребкредит часов 5 - аж после закрытия отделения с менеджером с час просидели, обсуждая разные нюансы. 5 минут на принятие решения - это, видимо, про какие-то мутные схемы (помню, как-то пришёл в салон к машине прицениться, так мне форменный DDoS устроили в телефон с кредитными предложениями - пришлось уйти, т.к. в подобных условиях принимать значимые решения считаю недопустимым).
Получал зарплатную карту в ВТБ - тоже в распечатанном бланке заявления уже были проставлены галочки во все поля - нужные и не нужные. Если "наехать" - то эти всё это прекрасно убирается в программе банковского работника и выходит бланк с только нужными проставленными галочками.
А на каком основании оператор связи даёт данные? Сомневаюсь, что они ему предоставляют договор на кредит. Согласие должно быть по ст. 9 152‑ФЗ и, скорее всего, у каждого оператора будет своя форма этого согласия.
Оператор обязан обеспечивать тайну связи и защиту сведений об абонентах, а при необоснованном раскрытии - ст. 138 УК РФ.
после заключения договора с банком - переходить к другому оператору с этим номером.
А еще счета по коммуналке приходят. Там вообще по совпадению адреса прописки просто.
Мне левые от бывшей приходят
Мне после продажи участка счета за него приходили два года, пока мне не надоело и я не потратил пару часов на решение вопроса.
Ха.
Один гражданин владел в деревне участком с домом, нормальным, с пропиской. К сожалению, умер, жена его вступила в наследство и участок продала соседям, которые дом снесли с официальной регистрацией через росреестр. С момента смерти гражданина прошло лет 15.
Так вот счета за электричество, выписанные на умершего 15 лет назад гражданина приносят на бумаге и пихают в стык в столбе, провода от которого сами отрезали 10 лет назад в связи со сносом строения.
Впечатляет. Однако, предположу, отрезали одни, а счета приносят всё-таки другие?
И задолженности по налогам там же. Хотя я не просил налоговую делиться информацией о моих долгах с банком.
А что с того, что вы дали банку право получать информацию? Вы же не давали сотовому оператору поручения информацией делиться. Сотовый оператор должен отказать банку, так как ваши договоренности с банком на договоренности с сотовым оператором не влияют.
Если посмотреть договор с любым оператором, то обязательно будет пункт о том, что вы даёте оператору право делиться информацией и ПД со всеми и каждым.
Или они в одностороннем порядке молча внесут изменения в договор с размещением на сайте, что само по себе незаконно, но всем пофиг.
Вообще я договора сто лет не видел. Он хранится на сайте где-то глубоко чтобы никто случайно не нашел, а подписываете вы обычно не договор, а заявление/анкету.
Мой договор с Пчелайном был ещё без упоминаний о сайте (в конце 90-х заключал), и хранится там же, где и прочие договоры - в тумбочке. Но в АльфаМобайл всё равно мой баланс отображается. Правда, в отличии от комментаторов выше, другие балансы (Мосэнергосбыт, ЕИРЦ, налоговая и т.п.) ни в одном мобильном клиенте не фигурируют (кроме одного, в который я руками вбивал реквизиты лицевых счетов).
Года полтора взад, собеседовался туда как Гошник. Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам. Не удивляет, но может что-то и изменилось за это время.
Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам.
Если не секрет, почему вы отказались из-за этого?
Потому что уже имел (и не единожды) опыт, если на собеседовании на встречный вопрос слышно "а что так можно?", то потом тебя будут отправлять "высадитесь на Солнце. Да, мы не дураки, высаживайтесь ночью". Да и .. до них нашел вполне приличное место, не жалею.
То есть если однажды к вам на собеседование попадёт человек "выше рангом" по хард-скиллам, ему следует побыстрей отказаться от процесса, чтоб вы его на солнце не отправили?
Не начальник. Не моё. Простой, линейный разраб.. Нет возможности отправить кого-либо и куда-либо. Не переживайте.
Я очень часто успешно собеседовал кандидатов, значительно превосходящих меня по своей предметной области. Но я их собеседовал как ИТ-директор, а не непосредственный руководитель. Когда собеседовал (и собеседовался) в качестве непосредственного руководителя направления, всегда ожидалось, что руководитель как минимум близок по навыкам с собеседуемому, иначе да - будут противоречия (пару раз сталкивался).
ух, в холиварную тему провоцируете уйти.
По-моему как раз это и норма, когда нанимают специалиста с выдающимися навыками, которых нет ни у кого из текущих сотрудников, чтобы расширить границы компетентности команды.
Отправлять на солнце ночью - норма, если у отправляемого есть право заявить, что согласно его экспертизе это невозможно потому-то и потому-то, и надо искать другие пути решения задачи.
Избегать такого найма - это какая-то обратная селекция, как будто хочется специально попасть к командам, которые не знают, зачем нанимают.
Возможно. Мне давно уже хотелось попасть в команду, где можно просто тихо сидеть в уголке и кодить или решать нечто не решенное (как сию).. Все эти гонки на Солнце - надоели лет 10 взад.. Да и .. 45лет стажа, в основном везде одно и тоже и уже очень давно.
Это не селекция, а вполне валидная позиция "лучше не работать за рупь, чем работать за 2". Я таких людей тоже знаю, и далеко не все готовы и хотят высаживаться на солнце, блистать в лучах славы и быть top-of-the-top. Хотят просто сидеть, писать REST простенький, кнопочки красить и так далее.
Руководитель безопасников МТС есть на хабре, но врядли Вам ответит. Гораздо важнее выступать на различных конференциях, продавая свой SOC.
Теперь ЛЮБОЙ человек может позвонить на номер 88002500890, дождаться ответа оператора, назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.
Вижу крики белки-истерички.
Данные совпадают? Обслуживание продолжается, данные не совпадают? Пока-пока. Паспорт тут далеко не обязателен, это простой и понятный принцип, даже сказал бы, что это стандарт в отрасли.
У меня тут больше вопрос к IVR
Я ввел номер паспорта - но специально с ошибкой. МТС меня все равно идентифицировал как абонента и «слил» все данные, относящиеся к тайне связи.
Значит, номер паспорта не был причиной для идентификации, а был потребностью в регулярном подтверждении ПД. Именно поэтому его и убрали потом.
Какие данные совпадают? Те, что запрошены - да. А какие ДОЛЖНЫ совпадать и запрашиваться? И какой способ подтверждения абонента является законным?
А какие ДОЛЖНЫ совпадать и запрашиваться?
ФИО и номера телефона / договора достаточно.
И какой способ подтверждения абонента является законным?
А тут всё на усмотрении организации.
Многого при общении с тех. поддержкой ты все равно не сделаешь.
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.
Это же настолько же интересные сведения, вау, ими можно оперировать в мошеннических целях, только вот как, и почему до сих пор нет пострадавших?
Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Обычным ширнармассам такое излишне, и будет только мешать.
ФИО и номера телефона / договора достаточно.
Кто решил, что этого достаточно?
А кто решил, что этого недостаточно?
Есть у меня конкурент, Иванов Иван Иванович. По заказам шабашит. Позвоню ка я в МТС, попрошу заблокировать симку, в связи с утратой телефона. А пока он опомнится, шабашить буду только я. Профит
Ок, Иванов Иван Иванович видит, что его номер заблокирован, подает обращение, ему говорят "вы заблокировали номер".
Он такой "я не блокировал". Ему в ответ "нет, вы блокировали".
Он идет в ментовку, те запрашивают данные о звонящем, записи разговоров, и находят его.
Выглядит, как сказка. Только, в реальности, практического смысла в таком событии для атакующего нет. На сколько времени тут будет простой? Менее суток - жертва успеет дойти до ближайшего офиса и получить новую симку.
СБ на такую ситуацию точно напряжется.
Он идет в ментовку, те запрашивают данные о звонящем, записи разговоров, и находят его.
Кого "его"? По тем данным звонил сам Иванов из телефона-автомата. Это если вообще искать что-то будут, а не сразу пошлют.
>Менее суток - жертва успеет дойти до ближайшего офиса и получить новую симку.
А вдруг жертва релоцировалась 3 года назад в другую страну, а симку как второй фактор для доступа к гос сервисам использует? "до ближайшего офиса" становится квестом.
куда он идет? в какую ментовку?
если вы имели ввиду милицию, то в полиции ему скажут, что милиции, защищавшей граждан, больше нет.
а полиция, защищает интересы правящего класса, и потому не усматривает состав преступления в безобидной шутке по отношению к простому рядовому гражданину ивановиваныванычу.
как то незаметно большинство из нас и превратилось в таких вот ивановиваныванычей, безропотно идущих на...
за информацию по МТС спасибо. давно подумывал перейти от них. вот и повод подходящий. пусть и они с моей подачи хоть немножко сходят внах.
до сих пор останавливало только то, что на личный кабинет моего номера были завязаны ЛК всей семьи. но их почти всех уже постепенно перевел.
за информацию по МТС спасибо. давно подумывал перейти от них
Комментарий рассказчика: похождения sartorius9 к другим операторам с аналогичной концовкой ждите в следующих сериях.
только за этот основной номер МТС за много лет получил от меня уже несколько сотен тысяч в пересчёте на нынешние деньги.
да, да. я такой старый, что пользовался мобильной связью когда еще даже никакого МТСа не было. ))
и мой уход от них сейчас не создаст проблему МТС.
просто мой уход от них принесет им пусть и незначительный, но убыток.
а мои действия и рекомендации родным и близким по уходу от МТС принесут им чуть больший убыток.
мои рекомендации знакомым по уходу от МТС принесут им ещё чуть больший убыток.
поддержка и одобрение этих действий здесь - дали бы еще хоть ненамного, но лучший результат.
ведь всё просто - любой оператор понимает только язык денег. рост прибыли.
а вот рассуждения о том, что "всё едино" и ничего из сделанного нами не даст результата - приносят ущерб нам.
всем нам.
А если есть номер банковской карты, то можно в банк позвонить и заблокировать ее, и это тоже совершенно нормально))
>>А кто решил, что этого недостаточно?
проблема в реализации этого "кодового слова", которое лишь дополнительный атрибут в карточке клиента. Как его в ней не подсвечивай и интерфейсно не выделяй - человеческий фактор, и на него могут не обратить внимания.
Вот если бы оно было бы паролем, без которого сотрудник просто в карточку клиента зайти не смог бы, это было бы более интересно.
Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Я вас расстрою, что мобильные операторы даже при установленном кодовом слове все раскрывают. Примеры из практики у меня тоже есть. И очень много.
И какая с этого ответственность у оператора наступила?
мобильные операторы даже при установленном кодовом слове все раскрывают
Тогда причем тут МТС, если это общая температура по больнице?
Тогда причем тут МТС, если это общая температура по больнице?
Если Васян ворует, Васян должен за это ответить.
Тот факт, что кроме Васяна ворует ешё и Петян и Стасян никак не оправдывает Васяна. Конечно, этот факт может добавить обществу дополнительных задач и обсуждений, но не должно повлиять на наказание Васяна.
При том, что это МТС не выполняет возложенные на операторы обязанности. Остальной дурдом меня не волнует.
А как вы узнали, есть пострадавшие или их нет? Вот такое, например, добралось до Интернета:
МТС игнорит клиентов и подключает платные услуги без согласия
Пойми теперь - это инициатива оператора или кто-то хулиганит.
Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Разве это можно сделать? Кодовое слово это опция, которую банк или оператор могут использовать, если захотят. Но это не доп. защита для клиента, которую он сам может активировать.
Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Вы предлагаете не ставить замки на двери и разрешать вход в квартиру любому, кто знает ваш адрес и способен дойти до двери. так вот - это все относиться к вопросам тайны связи и получением информации и тем более на манипуляции - должно быть ТОЛЬКО явная идентификация без вариантов.
Все же узнать номер и ФИО можно из слитых в большом количестве баз. Да и, скорее всего, у тебя тоже есть знакомые с симками МТС. Это же не значит, что ты должен иметь возможность управлять их тарифами, как тебе вздумается? Вопрос только в том, точно ли это так работает? Я вот сейчас пытался вспомнить, были ли какие-то подтверждения, когда я звонил на этот номер, или действительно хватало только этих данных.
узнать номер и ФИО можно из слитых в большом количестве баз
Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё. Даже коммунальщики давно догадались печатать в извещениях только инициалы.
Скажите это Мосэнергосбыту, они в 2025 году до сих пор пишут полные ФИО на квитанциях.
Далеко не все новации начинаются со столицы...
Вообще, фио, паспорт, номер телефона и т.п. это, по сути, публичные данные НЕ предназначенные для авторизации.
Дебильный вахтёрский инфобез вынуждает пытаться их секретить, но это тупиковый путь. Вы не сможете вымарать личные данные отовсюду. Даже не то что отовсюду, а хоть сколько-нибудь значимо сократить количество потенциальных утечек.
вы до сих пор получаете бумажные квитанции Мосэнергосбыта? от них же давно уже можно отказаться. чего не скажешь от квитанций ЖКУ.
вроде есть же - Отказ от бумажного ЕПД. Госуслуги Москвы
Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё.
Если не показывать - жалоб будет еще больше. Или шуму "почему банк меня не предупредил и не показал, я в наборе телефонного номера ошибся, когда деньги переводили". Ну и строго говоря - как обосновать запрет узнавания кому ты, собственно, переводишь?
Тут просто сама концепция дурная - одновременно хотим и не хотим, чтобы эти ФИО были публичными.
я в наборе телефонного номера ошибся
Делов-то: заставить отправителя вводить фамилию получателя вместе с его номером телефона и не показывать вообще никаких данных получателя. Это же перевод физик-физик, то есть люди точно знают друг друга. И даже абстрактный Ашотик в ларьке с фруктами сможет под это адаптироваться.
пробовали уже банки такое, только с ИНН. На следующий день после попытки такое ввести, банк захлестнули отклоненные платежи и бухи истерички которые не могут верно все данные внести. И от такой проверки отказались, не знаю есть ли сейчас, кейс наблюдал лет 13 назад.
Ну ИНН физика еще надо узнать. Не удивительно.
Кроме того, это можно сделать как опцию.
Собственно, есть же перевод по номеру карты. Но, блин, на него другие тарифы и лимиты.
Я про юриков. Когда юрику делаешь перевод указываешь кучу фигни типо бик р/с коррсчет город инн получателя итд. На самом деле нужно только бик и номер р/с, для страховки - инн получателя. Так и было сделано и далее все что я описал. Это я к тому что люди на редкость невнимательные безалаберные существа))
На самом деле нужно только бик и номер р/с
Иными словами - российский IBAN. Но с его одобрением очень долго тормозили.
Так а при чём тут юрики? Оффтоп какой-то. Телефон и фамилия это понятные любому человеку вещи.
заставить отправителя вводить фамилию получателя
Написать чужую фамилию без ошибок это очень сложная задача, как показывает практика. Пары глухая-звонкая согласная передают привет. Вместо б могут написать п, вместо г — х или даже к, про е / ё вообще молчу.
А что это за ситуация, где получатель не может уточнить для отправителя написание своей фамилии? И что за ситуация, где критически важно написать верно с первого раза?
Чушь. Если человек хочет денег - найдёт способ сообщить свои Ф. И. О. плательщику. Мессенджер, SMS, e-mail, ссылка на облако - масса способов. И в большинстве случаев не надо будет набирать - только копировать. Есть ещё вариант по QR, сгенерированным банком получателя - там ещё проще: навёл/распознал, отправил.
Но при всем при этом СБП работает почему-то по номеру телефона, а не по, скажем, номеру банковского счета или своему идентификатору. Хотя из той же логики продавец "если хочет денег" - найдет способ сообщить эту последовательность цифр, куда деньги слать.
Как уже тут упоминали для банковского перевода достаточно БИК банка и номер р/с. 9 + 20 цифр получается. СБП требует 10 цифр телефона + выбрать банк по названию.
Не сказать чтобы катастрофическая разница. СБП переводы вошли в обиход скорее из-за своей бесплатности. Будь переводы по реквизитам такими же быстрыми и бесплатными, все бы привыкли к иным идентификаторам.
Будь переводы по реквизитам такими же быстрыми и бесплатными, все бы привыкли к иным идентификаторам.
Я, в общем, так же считаю. И считаю то, что 'перевод по номеру' (да еще такой быстрый) - был ошибкой, которую уже каким-то по счету законом и заплаткой чинят.
Вопрос в том, что из каких-то соображений они выбрали именно номер телефона. Неужели просто из-за того, что модно, круто выглядит, идея выглядела привлекательно с рекламной точки зрения?
Я знаю телефонные номера практически всех знакомых. Эти данные у меня уже есть. Спросить - "на какой банк тебе кинуть?" и получить ответ "на сбер/тиньков/альфу..." проще, чем - "пришли мне БИК и номер счета".
Да, могут быть накладки - у знакомого однажды картой по умолчанию для переводов почему-то стала кредитка. И перекинутая сумма улетела туда. Неудобненько получилось.
Ну, иногда бывает и как у меня - для общения один номер, а банки и прочие госуслуги со спортмастерами привязаны к другим. Просто по работе пришлось обзавестись симками большой тройки (потом четвёрки), ещё в эпоху, когда смартфоном считался телефон, умеющий работать с почтой и wap, ну и как-то так повелось, что разные категории регистрирую на разные номера.
Неужели просто из-за того, что модно, круто выглядит
К моменту появления СБП, номер телефона уже стал дефакто этаким всеобщим идентификатором.
Он относительно короткий. Широко распространен — у любого человека есть телефон (хотя в общем случае это не так). Он применяется повсеместно - банки, любые сервисы в интернете, мессенджеры, в конце концов, на него можно просто позвонить.
Но он не проектировался для такого применения, оно само так вышло )
Я еще застал те времена, когда регистрируясь на каком-нибудь сайте ты придумывал себе логин, и он был твоим идентификаторм на этом сайте. На другом другой, в налоговой ИНН, в банке номер счета, в поликлинике условно полис ОМС ) И в этой схеме номер телефона, это просто еще один локальный идентификатор.
для этого придумали "нулевое доверие" - когда все транзакции авторизуются только по факту письменного подстверждения в банке...
Вы, по-ходу, посыл не поняли. Представьте, что у вас есть недруг, и ему, чтобы прокинуть вас на бабки через доп. услуги МТСа, достаточно знать ваши ФИО и номер телефона. Т.е. любой условный коллега/одноклассник/сосед может слить Ваш баланс без какого-либо хакерства вообще. Как вам такое? Даже требование номера договора уже на порядок повысит устойчивость, а так это даже не открытая дверь, это распахнутые ворота в 10 метрах от охраняемой проходной.
По вашей логике для входа в интернет-банк тоже достаточно логина и ФИО. Пароль и смс - это же "излишне и будет мешать"
Стандарт в отрасли - это многофакторная аутентификация, а не то что вы описали
Кто-нибудь уже попробовал так сделать? Выглядит это крайне странно.
Алло! Здравствуйте, это анонимный телефон доверия ФСБ?
Да, Василий Васильевич. А почему, кстати, вы с телефона своей тёщи звоните?
Есть симка для ребенка, в которой отключили все, что можно, кроме звонков (растет юный пентестер). Даже поставили "кодовое слово" (МТС позволяет это сделать в любом пункте обслуживания, чтобы через оператора нельзя было сделать такой фигни о которой говорит ТС). Оказалось, что даже это не панацея. Оператор тупо не видит у себя в интерфейсе, что установлено кодовое слово и нужно его запрашивать.
Выяснилось когда ребенок опять всякое наподключал - просто позвонил оператору и попросил.
Вот я про это выше в одном из комментариев и написал - что даже кодовое слово не спасает. Его тоже игнорируют операторы.
Вообще оператор тогда должен нести ответственность за игнорирование кодового слова.
просто позвонил оператору и попросил
Так оператор финансово заинтересован в подключении любых платных услуг.
А доказать, что ты такого не подключал затруднительно для обычного обывателя
Получается, самая надежная защита это не кодовое слово, а ребенок, который регулярно проверяет на прочность вашу оборону. Лучший пентестер
Переоформить номер на другого человека случайно не даёт? Пригодилось бы.
Если все так, то почему диверсанты до сих пор не написали бота, и не устроили хаос? Заинтересантов в хаосе сейчас хватает. И для обычных мошенников-разводил это суперинструмент.
Может не все так просто, и есть проверка неочевидного "цифро-аналогового отпечатка"? Образцы голоса, список "аффилированных" номеров телефона, например. Или это было бы чересчур для такой высокотехнологичной компании? Обычный тупизм-пофигизм более вероятен.
За три часа с момента публикации?.. Вы как-то переоцениваете диверсантов.
Образцы голоса
Это же биометрия, её разве можно собирать без ведома абонента?
почему диверсанты до сих пор не написали бота, и не устроили хаос?
Потому что сейчас хаос им не нужен. Но бота они написали, и он стоит на запАсном пути. Вот взбунтуется какой-нибудь Рогожин — так сразу и....
Если все так, то почему диверсанты до сих пор не написали бота, и не устроили хаос?
Так дыра же через звонок в техподдержку и общение с живым оператором работает. При массовых звонках прикроют сразу. Хаос тут не устроить, максимум подлянку ограниченному кругу лиц.
пример Аэрофлота уже показал, что огроменные дыры в ИБ запросто могут быть даже у крупнейших компаний
А где/у кого их нет? Наверно мы их еще не знаем, или уже не услышим, по причине прекращения деятельности.
В наших палестинах аббревиатура ИБ в сути своей часто расшифровывается как имитационная безопасность. Обычно там много бюрократии, присутствует своя артистократия и труднообъяснимые внутренние процессы выработки и принятия решений.
Классическая история. Кто-то в погоне за улучшением клиентского опыта решил, что запрашивать паспортные данные по телефону - это долго и неудобно. Убрали проверку, а про то что ФИО и номер телефона - это по сути публичная информация, никто не подумал. Это не злой умысел, это обычная халатность на стыке отделов
МТС четко соблюдает законодательство в области сохранности и защиты персональных данных абонентов. Используя ФИО, в контактном центре можно уточнить баланс номера. При этом операции, которые содержат персональные данные абонента и тайну связи, доступны для совершения только в случае усиленной идентификации владельца и при обращении с номера телефона.
Пришлите, пожалуйста, номер телефона на наш адрес https://opros.ssl.mts.ru/mentions, мы проведем дополнительную проверку.
А ещё забавно то, что через 8-800 звонить операторам гораздо быстрее и приятнее.
Был момент, когда через 4значный внутренний номер меня два раза минут по 15 держали на холде, и так и не соединили с оператором. Перезвонил на 8-800 - минуты через 3 соединили.
Только звонить надо с другого оператора, операторы свои 8-800 перехватывают сами бесплатно, и поэтому трюк не срабатывает.
Самое печальное, что после вашего поста скорее всего ничего не изменится. В лучшем случае тихо вернут проверку по паспорту. Никаких публичных извинений и разборов полетов не будет. Для большой корпорации признать такую ошибку страшнее, чем сама ошибка
Ой да расслабьтесь, никто ваши данные защищать не собирался и не собирается. Нам МТС симку по левой доверенности выпустили, после чего сняли все деньги из зеленого банка.
давно?
Вообще-то, в таких случаях, согласно судебной практике, оператор связи несет полную ответственность за похищенные денежные средства. Есть ещё вариант с настоящей нотариально заверенной доверенностью. Тогда ответственность несет нотариус.
В целом да, если повезет. Только процесс этот может занять ни один год.
А задача какая: вернуть свои деньги или узнать, что коммерческая организация класть хотела на интересы клиента? Если второе, то предлагаю прочитать самые вводные статьи закона «О предпринимательской деятельности», и закрыть этот вопрос для себя навсегда и априорно.
Простите, а в чем ваш посыл? Я ведь примерно об этом и говорю. И кстати, статья про защиту данных, а не предпринимательство.
И кстати, статья про защиту данных, а не предпринимательство
Так ведь и то, что у тебя деньги увели через подмену симки, тоже не относится к защите данных.
Простите, а в чем ваш посыл?
В том, что берешь и отстаиваешь свои права в суде, если считаешь их нарушенными. Чем, кстати, окажешь услугу не только себе, но и своим детям. Чем больше людей вместо «обращений» идут в суд, тем лучшее будущее достанется детям.
Во-первых, когда мы перешли на ты? Во-вторых, с чего вы взяли, что мы в суд не ходили?
Так ведь и то, что у тебя деньги увели через подмену симки, тоже не относится к защите данных.
Очень даже относится. Про проблему сим своппинга не вчера узнали. Да и в целом про человеческий фактор в обеспечении безопасности писал еще Митник в 90-е. О проблеме все знают, но годами для ее решения не делается ничего, даже опциональных решений не предлагается. Автор в своем посте примерно об этом и пишет.
Я так понимаю что надо знать номер, фио и ещё паспортные данные, но такое ощущение что с такими данными давно можно звонить ко всем операторам и просить заблокировать утерянную симку или восстановить, или разблокировать... Детализацию вроде так не все дают, надо ехать, ну как минимум на привязанный емейл, а не на левый.
Однажды в поездке попал в пренеприятнейшую ситуацию - телефон перезапустил (уж и не помню причины) и сунул в карман брюк. А эта скотина прогрузилась до ввода PIN и ввела непонятно что несколько раз.
В итоге я оказался достаточно далеко от салонов своего оператора с нерабочим телефоном. И да, puk я не помню. Ну то есть он наверно где-то дома лежит... Наверно...
Решил вопрос звонком в ТП с телефона жены. Да, и паспорт, и адрес и прочее все что спросили ответил. Да, pin сказали.
Нужен ли такой сервис? Скорее да чем нет. Нужна ли тщательная проверка - обязательно. Есть ли в такой ситуации возможность "налюбить" человека - несомненно есть.
Но боюсь и при "личном обслуживании" путем "качественной мотивации сотрудников" можно получить и дубликат симки и прочее, прочее... Вопрос лишь в мотивации...
У коллеги Intune Portal пару раз вайпал данные с рабочего телефона по аналогичной причине, случайная активация экрана в кармане и несколько раз неверно набраный пароль от телефона. Пришлось отучать софт от этой пакости прежде чем ставить.
это, кстати, подтверждения того, что установка пин-кода на симку от "целевой" кражи телефона(симки) не спасет... И, соответственно, от увода тех лк, доступ к которым восстанавливается с помощью смс...
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.
Можно ли сделать какую-нибудь переадресацию СМС?
Операторы связи как всегда в своем репертуаре, иногда кажется что закон им вообще не писан.
Да я просто запарился ждать 3 дня ответа в чате поддержки на очередное незаконное списание денег
Родина дала им ЗоЗПП. Пишешь претензию, взыскиваешь на изи деньги плюс проценты за пользование чужими средствами плюс моральный вред плюс 50% штрафа. Нет, не хочу, хочу ждать ответа на «обращение».
Кстати да! Был у меня прецедент, позвонила жена из офиса и сказала что е может зайти в ЛК МТС, глюки с паролем, а в ТП на человека вйти не может. Так я с Билайна дожал бота и общался с человеком. Жена была в одном ухе, чел в другом и мы успешно сменили пароль
Напишиты Бастрыкину. Все пишут и ничего:)
Мтс может, у меня начали списываться деньги, начал разбираться, обнаружил услугу которая стоит 1,5 рубля в сутки. Новых услуг уже 5 лет не подключал. Написал в поддержу, вначале ИИ делал вид что не понимает, потом просто прервал беседу и всё началось сначала. С какойто попытки добрался до ответов живого человека, оказывается они услугу переделали :) но виноват я сам, надо было ходить на сайт МТС и где-то там читать что они услугу меняют, уведомить смс - нельзя, сразу же услугу отключишь и мтс денег не поднимет.
Вы спокойно ведете диалог и решаете....
Дальше можно не читать, пост наброс. Тп нет у мтс, вечное висение на ожидании. Чат поддержки скрыт.
Они все хороши, мне Yota вообще бывшего уголовника прислала который в разрез протоколу, как я позже в поддержке узнал, сделал фото моего паспорта. Их официальный ответ на ситуацию - нам очень жаль можем пополнить ваш баланс на 50руб.
Ну тобишь полная безответственность с плевком в лицо, даже если обеспечили клиенту потенциальную угрозу жизни.
Все жалобы в роспотребнадзоры, следственные комитеты, написания заявлении и тд, эффективны только на бумаге, в итоге тебе возвращается отписка с общим смыслом - нет оснований. Так и живем.
Не удивлюсь, если от МТС не будет НИКАКОЙ реакции
Ну и клоуны тут собрались 😁
Такая система с идентификацией по Имени и Отчеству используется повсеместно. Зная ФИО можно: отключить пользователю интернет в квартире, отключить домашний телефон в квартире если он ещё остался, заблокировать его номер телефона, узнать его долги по ИП/алиментам/налогам... В общем много чего можно. Больше того скажу, можно даже ИП-шкам отключить интернет, если они не просили провайдера поставить идентификацию ещё и по паролю кроме ФИО. В РТК ИП-шники должны слёзно умолять, чтобы им поставили пароль на идентификацию по звонку, ибо по обычному скрипту работники говорят что такой функции/возможности нет. Но она есть.
А фио Ты откуда знаешь рандомного номера
Хорошая реклама канала.
Мне понравилось. Подписалсо.
МТС: нам плевать на вашу тайну связи?