(Не актуально, починили) Заметка. Как Теле2 делится доступом к личному кабинету новых абонентов

    Если вы новый абонент Теле2, то есть вероятность того, что сотовый оператор без вашего согласия не только поделился вашими персональными данными с кем-то еще, но и передал возможность управлять вашим «личным кабинетом» третьим лицам.

    Не нужно никаких хакерских атак, сложных взломов и т.п. — все несколько банальнее.


    Источник: кадр из рекламы Теле2 и кот c Я.Плакал

    Постараюсь описать несколько подробнее, чтобы (возможно) не упустить важные детали.
    Год-два назад у меня было 2 SIM-карты Теле2: Воронеж и Москва, причем воронежская карта была привязана к московскому номеру через «Личный кабинет». Стоит отметить, что привязка номера в мобильном приложении Android работала поначалу очень плохо — при очередном обновлении приложения привязанные номера пропадали, но потом вроде «починили».

    Спустя некоторое время было решено отказаться от использования воронежского номера — просто прекратил платить (там осталась какая-то небольшая сумма).

    Московский номер Теле2 у меня резервный и пользуюсь я им нечасто, тем более в приложение заходить перестал.

    Тут как-то ради интереса зашел в «Личный кабинет» и смотрю, на воронежском номере появились какие-то услуги — платный интернет за 8 рублей в день и денег на счету 60 рублей. Ну думаю: «Что ж такое творят?», — и быстрее отключил данную опцию. Ради любопытства заказал подробный отчет по номеру и по нему уже понял, что номер передали другом человеку, а вот «отвязать» в «Личном кабинете» Теле2 как-то забыл. По факту мне также стала доступна информация о новом абоненте: ФИО, адрес проживания (адрес доставки корреспонденции) и естественно номер телефона.

    Связался со службой поддержки оператора — обрисовал ситуацию и попросил исправить. Радостный оператор службы поддержки уведомил, что решат вопрос через 3 дня, перечислил бонус 100 рублей (видимо за найденный баг :) ) и оставил номер тикета. Прошел месяц — ничего не исправлено и никто повторно со мной не связывался.

    Как видно, повторить процедуру захвата управления чужим номером Теле2 несложно, главное уметь ждать :). Так что не удивляйтесь, если ваш телефон начал активно делиться гигабайтами с незнакомыми номерами без вашего ведома.

    PS В 18:50 MSK пришла SMS-ка «Доступ к личному кабинету для номера 7952ххххххх прекращен». Хабр работает (до этого целый месяц ждал), но вот досада — доступ из приложения к чужому кабинету также продолжает работать, несмотря на SMS :) Доступа через браузер не стало.

    PPS Спустя пару недель после выхода статьи доступ через приложение закрыли.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 77

      +13
      Вспомнил довольно забавную историю про передачу номеров. На сайте Теле2 можно выбрать себе понравившийся номер из достаточно большого списка, я решил посмотреть, сколько там номеров, которые уже отобрали у кого-то. Много кликов мышкой для загрузки списка побольше, немного регулярных выражений — теперь у меня есть около 5 тысяч (количество доступных больше, кликать стало лень) номеров, каждый из которых можно получить в течение часа. Загружаю этот список в контакты, импортирую в Viber, нахожу 200 аккаунтов. Выбираю пару десятков аккаунтов из этого списка, использую эти же номера в ВК, там аккаунты тоже есть. Потом немного Сбербанка, там тоже есть живые аккаунты, привязанные к этим номерам.

      Есть два интересных результата:
      1) Для доступа к достаточно большому количеству аккаунтов и денег (?) достаточно уметь копировать-вставлять номера, плюс надо потратить 200 рублей в ближайшем офисе Теле2.
      2) Довольно много из этих номеров уже недоступны для покупки, что заставляет думать, что у достаточно большого количества людей аккаунты уже привязаны к номерам, которыми пользуются другие.

      Пользуюсь случаем: наверняка эту статью будут читать люди из Теле2, поэтому напишите мне, если вы хотите обсудить несколько уязвимостей (часть довольно серьёзных, доступ к аккаунтам пользователей в других сервисах через Теле2). Как-то не хочется общаться с бесполезной поддержкой или isecure@, которые не отвечали больше полугода, а потом написали и спросили, что я нашёл.
        +1
        плюс надо потратить 200 рублей в ближайшем офисе Теле
        И предъявить паспорт, что уже несколько отбивает охоту атаковать чужой мобильный банк. Хотя, если озаботиться хорошей подделкой или нанять для этой цели подставное лицо…
          +2
          Дать бомжу Васе бутылку и все?
            +1
            Дать продавцу еще 200 и он сам найдет.
            +1
            В связи с тем, что у нас «победили» нелегальную продажу сим-карт… можно просто погулять около вокзалов и «бесплатные симкарты, бесплатные симкарты», «а дайте штучек десять». Ну а далее спокойно сидеть и проверять, нет-ли ничего интересного, привязанного к тем номерам. И никаких паспортов и прочего.
              0
              Улов будет скуднее и затраты выше, но безопаснее, да.
                0
                Затрат — покататься на метро и потратить много времени. Ну и 100р кинуть на «интересную» симку через какой-нибудь аппарат с 10% комиссией, чтобы не светить личность.
                  0
                  Анонимное пополнение(через терминалы) вроде бы тоже запретили.
                    0
                    Куча терминалов об этом даже не знает и продолжает предлагать всё пополнить с комиссией разного уровня наглости.
                  0
                  Кстати, вспомнил про свой МТСовский номер, который был куплен в их салоне по паспорту и всей прочей законности. К номеру аккаунты «Вконтакте» и «Авито» — в подарок, вместе с роботом-дозвонщиком от какого-то провайдера, которому предыдущий собственник задолжал денег.
                0
                darknet никто не отменял, там вам за смешные 500 р купят симку на любые фио
                –3

                Теле2 тут странно винить. Да и что они могут сделать в данной ситуации? Не продавать бесхозные номера? Можно лишь посетовать на безаларность пользователей. Сами виноваты.

                  0
                  Было бы логично сменить пароль для доступа в ЛК, отвязать номер от текущего кабинета, уведомить предыдущего абонента. В общем сделать хоть что-то.
                    +1

                    Вы вообще читали комментарий, на который я отвечала?! Где там слова "личный кабинет"? Речь о привязке номера к банку, к аккаунту ВК и мессенджерам. Тут оператор-то что может поделать?!

                      +1
                      Отнюдь. Операторы не сообщают о движении по номерам как «бывшим» абонентам, так и сервисам. Создать какой нибудь внутренний ресурс и обмениваться информацией хотя бы с банками, можно было бы уже давно.
                      Вы правы только в том, что один Теле2 тут точно не причем, тут целиком вся система хромает. И периодические новости о мошенниках ни каким образом не приближают проблему к её решению.
                        0
                        Банкам сообщают, неоднократно проверено. По крайней мере Мегафон и по крайней мере Сбербанку
                          +1

                          На МТСе тоже при смене симки отваливались сбер и альфа

                            0
                            Сейчас уже да, а несколько лет назад это ещё плохо работало.
                              0

                              Сбер не так давно, а альфа ещё году в 2010

                                +1
                                Сейчас уже да

                                Ага, уже щазз да.
                                Менял симку перед новым годом (Пчелайн), а альфа издала вопль в конце апреля, и конечно же в самый неподходящий момент :((.
                      0

                      Может они могли бы выработать такую инструкцию:


                      • как только номер становится "бесхозным", они автоматически отправляют уведомление в топ30 банков, сервисов и пр.
                        Тогда банк, увидев такое уведомление, сравнивает со своей базой и если находит совпадение — уведомляет клиента, что он не отвязал свой номер.
                        +2
                        Простите, а если номер стал бесхозным, куда банк будет уведомлять клиента? Насколько \ знаю, современные банки как раз завязаны на ваш номер по-максимуму (что тоже не есть хорошо).
                        Да и операторы вряд ли захотят брать на себя ответственность за оповещение ТОП-сервисов/банков (по крайней мере, бесплатно).
                          0
                          А Госуслуги на что? Номер паспорта, прописка и т.п. есть. Отправляем туда. А там могут взять все банки и остальные официально зарегистрированные мессенжеры и т.п., кстати, бывший владелец номера…
                          И вообще могли бы на ГУ выдавать пожизненный официальный номер, который можно ко всему привязывать и который нельзя кому-то передать)
                          p/s Как раз реализовали передачу номера между операторами, без этого были бы сложности, а теперь вообще не вижу проблем.
                    +2
                    Я точно так же в Ростелекоме интернет отключил.
                    Так они мне потом в ЛК показали все услуги нового абонента и даже лицензионный код для активации касперыча, который тот абонент у них купил.

                    Саппорт тупо в отказ шел и даже с трех попыток завести багу не удалось через них, забил (я у них все уже отключил, и подключать не планирую).
                      +4
                      Ага, RT-шный так называемый «церт» мышей не ловит, на письма не отвечает, проблемы не фиксит. А все почему? Потому что и ответственности не несет.
                        +3
                        Теле2 и ростелеком это одно и то же.
                          +2
                          Не нужно так всё обобщать. Где-то на верху, совсем высоко, владелец один и тот же. А вот по ниже уже ответственность несут совсем разные люди которых могут независимо иметь.
                        0
                        "… перечислил бонус 100 рублей..."
                        Звоните им раз в неделю, накажите рублём, так сказать…
                          +6
                          Я и наказал их рублем — ушел в МГТС :) Эти пока в больших косяках не замечены.
                            0
                            ушел в МГТС

                            Самонаказание какое-то…
                            0
                            Я так и делал. 600 руб в плюсе. В личном кабинете болталась услуга, которую отключить самостоятельно не получалось. Если её удалить, то она как-бы пропадает но после повторного входа появляется вновь. Та же проблема, походу, была и в АРМ оператора, но никто из операторов так и не внял просьбе «перевойти и посмотреть». Пока не перешёл к оценочным суждениям о дегенеративных умственных способностях сотрудников (без ненормативной лексики), так проблему решить и не могли, но это уже в переписке.
                            +6
                            Это ещё что. Есть у меня один очень старый e-mail типа [фамилия]@mail.ru. Фамилия без всяких цифр и инициалов, относительно редкая. Так вот, мне постоянно приходят выписки от банков, брокерских контор, МФУ на разных оленей-однофамильцев. Т.е. люди при регистрации пишут первый попавшийся e-mail, а потом, видимо, безуспешно пытаются его зарегистрировать.
                            Из последних интересных кейсов это были aliexpress (я зашел и заблокировал этот аккаунт) и электронный ОСАГО (позвонил по указаному номеру, обещали удалить из базы). Также не без приключений и при помощи службы поддержки был удален Apple ID.
                            Что касается банков и других ФУ, то все попытки договориться с их службой поддержки приводили к просьбе прислать скан моего паспорта (и были посланы, само собой).

                            Я это к чему пишу. Налицо полное всеобщее пренебрежение к правилу «проверяй e-mail, который тебе предоставил клиент на валидность». Даже (кто бы мог подумать) Apple.
                              0
                              Встречал две похожие проблемы:
                              1) Одна компания при регистрации не проверяла почту, поэтому можно было регистрироваться с любой незанятой. При этом они по адресу почты подгружали документы, где эта почта использовались как контактная. Можно было собрать очень неплохую базу с паспортными данными и другими ценными вещами.
                              2) Другая компания пыталась честно проверять почту, но они отправляли ссылку, которая просто подтверждает адрес, указанный в личном кабинете. Указываешь свою почту, получаешь ссылку, меняешь адрес в личном кабинете, проходишь по ссылке, подтверждаешь новую почту. При выборе удачной почты получаешь доступ к аккаунту пользователя на остальных сайтах системы.
                                +1
                                Встречал две похожие проблемы:

                                3. Третья компания, когда я им заявил, что почты у меня нет, вкорячила в договор банковского обслуживания какой-то левый адрес.
                              –12
                              Ну а чего вы хотели от оператора для гастарбайтеров?
                                0
                                Мне кажется, что таким «обманом» занимается не только Теле2.
                                Установил как-то дома спутниковую антенну (дом довольно старый и на тот момент во всем доме не был проведен кабель ни для интернета, ни для телевизора, а комнатная антенна ловила два с фигом канала). И опять же по «счастливому» стечению обстоятельств при покупке телевизора дали в «подарок» пакет НТВ-плюс. На всем протяжении сотрудничества с ними они меняли тарифный план БЕЗ уведомления пользователя ни по почте, ни в личном кабинете: с 59 рублей в месяц стоимость за 1,5 года выросла до 289 рублей! Помимо этого они снимали деньги со счета за какие-то левые услуги. В какой-то момент спутник перестал показывать и вызвав мастера НТВ-плюс, вместо бесплатного осмотра и ремонта (как у того же ростелекома), они сказали, что оборудование устарело и конечно же его нужно срочно менять за 8к!!! Тут то мы с ними и распрощались. А чтобы завершить с ними договор, нужно было отправить им на ПОЧТУ (не электронную, а прости господи бумажную) заявление (на почту, Карл) с письменным заявлением на расторжение договора, а также карту абонента! Иначе штраф 550р!!!

                                  0
                                  Я подключался к НТВ+ раньше вас, в то время наш тарифный план стоил 29 рублей в месяц. Сейчас этот ТП стоит 149 рублей, то есть подорожал всего в 6 раз. Браво, НТВ+!
                                    0

                                    Сейчас у всех опсосов тарифы на 100500 гигабайт в месяц за 500р-600р. Теле2 держится, со своими 8ГБ за 300. А мне нужно 2 ГБ за 100 и, уверен, не только мне. По факту я плачу за то, чем не пользуюсь.

                                      0

                                      О, проверил, у них теперь можно 3 ГБ за 200р и 1ГБ за 120р купить. Отлично.

                                        0
                                        А мне нужно 2 ГБ за 100 и, уверен, не только мне.

                                        И что? А мне нужно за 50 рублей 100 Гбайт. Но законы рынка никто не отменял. Опсосам просто не выгодно поддерживать такие тарифы (читай невыгодно = они на вас теряют деньги, а не зарабатывают хотя бы 1 рубль).
                                        В среднем, оператору нужно брать с абонента
                                        как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать. Дешевле — это уже получается "связь за счёт оператора".
                                        Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.

                                          0
                                          И что? А мне нужно за 50 рублей 100 Гбайт.

                                          Не надо передергивать. Я хочу меньше за меньшую стоимость.


                                          В среднем, оператору нужно брать с абонента как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать.

                                          В среднем пускай зарабатывают, конкретно я тут причем? Можно пруф с расчетами? А то я могу написать, что опсосу достаточно 50р в месяц в среднем с абонента.


                                          Дешевле — это уже получается "связь за счёт оператора".

                                          Пруфы, пожалуйста.


                                          Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.

                                          Уже нашел у того же Теле2 3 ГБ за 200р и 1ГБ за 120р. Что сильно отличается от 500р-600р. Эти тарифы введены недавно, что говорит о том, что все ваши умозаключения далеки от реальности.

                                            +1

                                            FYI Если регион Москва: МГТС Смарт для своих 8гб/500 мин/500смс за 250 рублей (раньше было 200 рублей за 5/500/500,). Получить данный тариф просто — переходите к ним со своим номером от другого оператора.

                                              0

                                              Спасибо за информацию, буду иметь в виду.

                                              0
                                              Пруфов не будет, это инсайдерская информация, для внутреннего использования. У каждого оператора это число своё.
                                              Но вы можете проверить очень просто: подключите тот же тариф, который вам советуют выше. Вот вам 200 рублей в месяц. Это ниже планки, через 2-3 месяца вам начнут подключаться условно бесплатные подписки, чтобы донабрать до 300р. И это не закончится, пока у вас такой дешёвый тариф. Вот вам и будет пруф.
                                                0

                                                Я уже полтора года на пчелайне сижу на обычном тарифе без пакета ненужных мне минут и т.д. Расходов в месяц на звонки 50р-100р, дату не использую, у них тарифы совсем безумные. Ничего ко мне не подключается. Звонят только регулярно и пытаются впарить ненужное. Так что, не работает ваша теория. Проверенной информацией по этому вопросу могут обладать только топы, а вашему инсайдеру просто ездят по ушам, пытаясь его заставить еще чем-нибудь клиентов осчастливить.


                                                Со следующего месяца в еле2, который для интернета использую, тоже с 320р за 7ГБ переключусь на 1ГБ за 120р. И есть подозрение у меня, что никто мне ничего левого подключать не будет.


                                                Мне вообще за 18 лет пользования сотовой связью у разных опсосов в разных городах никто никогда никаких левых подписок не подключал.

                                                  0
                                                  Очень очень давно, когда трава была зеленее, а… ну неважно. Смысл в том что в лохматых годах в достаточной мере распространены были тарифы без абонки. Плюс к этому билайн предложил акционный, для отдельных категорий абонентов тариф «Силовик». Милиция, военные и тп. Последние восемь лет примерно 2 раза в год звонит девушка и предлагает «очень выгодный тариф всего за ххх рублей в месяц». Оператор с меня имеет примерно 1000 в год, ну 1500 край если Новый год удался. И никаких подписок не возникает. СМС с предложением оных да, но не подключение.
                                                  И вишенка. Тариф не для европейской части России. То есть с региональной наценкой. Иначе было бы еще дешевле. Интернета правда нет. Совсем. 0 мб.
                                            0
                                            Удивительно, что только в 6 раз!
                                            0

                                            Хм. У знакомых Skyway уже лет 7 работает. Нафига менять?

                                            +1
                                            Не так давно нужно было связаться с человеком, с которым общался несколько лет назад в ОК.
                                            Зашел на ОК, пароль, естественно, забыл, выбрал восстановить, ввел почту, которая у меня с незапамятных времен, пришло сообщение, я сбросил пароль и что я вижу? Страничка молодой черной девушки из какой-то африканской страны, в данных стоит что студентка, живет в Москве, по русски не разговаривает. И что странно — в профиле нет привязанного адреса почты, только телефон! Никакие уведомления на мою почту не приходили. Почему ОК дал мне доступ к этой учетке — непонятно.
                                              0
                                              Прошел месяц — ничего не исправлено и никто повторно со мной не связывался.

                                              Не стоит надеяться на столь быструю реакцию. Современные операторы это неповоротливые динозавры. Такие процессы могут идти многие месяцы, особенно, если требуются какие-то существенные доработки.
                                                0
                                                Диназавры как известно вымерли надеюсь опсосов ждет таже участь
                                                  0
                                                  То есть вы надеетесь, что у вас не будет сотовой связи?
                                                    0
                                                    то есть я надеюсь что их заменят более расторопные и клиентоориентированные
                                                    а вы научитись понимать то что написано а не набор букв
                                                      0
                                                      Маловероятно. Сотовые операторы это крупный бизнес, а крупный он весь такой.
                                                      А мелкий бизнес не будет и не сможет вам обеспечивать связь в Норильск и тому подобное,
                                                      да даже в мелкие деревни не за полярным кругом.
                                                        0
                                                        спасибо буду знать
                                                +2

                                                Раз пошла такая пьянка, давайте расскажу об ошибке, которая 3 года назад, надеюсь, сейчас закрыли, позволяла наоборот нагреть теле2. Надо было вывести 15 тыс с карты, и единственный способ был на моб оператора. Вывел на свой номер теле2. Оттуда можно было уже на карту, но то ли процент был большой, то ли лимиты, короче, нашел что без процента можно вывести (или это называлось ошибочный платеж), на банк счёт, но надо идти в офис, писать заявление, ждать дня 4. Сходил, написал, через дня 4 на рас. счёт приходят 15 тыс, но при этом баланс на номере тоже 15. Ладно думаю, не обновилу инфу, подожду. Прошло 2 раб дня, баланс телефона по прежнему 15. Стало интересно: онлайн вывел ещё раз 15 тыс на карту, деньги пришли. Итого, из 15 тыс у меня получилось 30. Через день-два после второго вывода звонит девушка, говорит вы получили 15 тыс на счёт? Я вижу вы и второй раз выввели, верните пожалуйста 15. На вопрос как так, и что это потенциальная схема для мошенника, ответила что мы ждём пока деньги точно не придут на счёт, бывают ошибаются в реквизитах. А так да, типа вы же честный, верните. Я конечно вернул. Но уверен, что кто-то схему с подставным лицом провернул, и удалил свои вложения.

                                                  +1
                                                  В «копилку» подобных историй: недавно обнаружил, что у RU-CENTER, оказывается, имею аккаунт. Начал выяснять, вспомнил, что в конце 2017 года «ХЦ» передал своих клиентов под крышу RU-CENTER. Рассылались письма, мол, если не хотите обслуживаться у RU-CENTER, то зайдите в личный кабинет «ХЦ» и поставьте соответствующую галочку там-то. Помню, я это сделал, т.к. и услугами «ХЦ» не пользовался более, а уж переходить к RU-CENTER не хотел и подавно, так что аккаунты ни у «ХЦ», ни у RU-CENTER мне нужны не были. Недавно чистил почту, смотрю, а там затесалось письмо от RU-CENTER с данными от нового аккаунта. Открыл, сразу проверил отправителей/получателей и прочую информацию, и заметил, что в получателях значатся 2 адреса. Если первый был точно мой, то второй я никак не опознал. Гугл подсказал что это за человек, но такого я не знаю и знать никак не мог. Решил зайти в «свой аккаунт» RU-CENTER, и далее веселье: вижу, что данные мои, которые были всё же перенесены от «ХЦ» (всякие согласия/несогласия им, очевидно, до фонаря), а вот услуга в виде регистрации домена и сам работающий домен уже никак не мои, да и данные, на который был зарегистрирован домен, также чужие. Проверил — все данные домена могу редактировать, могу также менять NS/DNS и пр. Написал в поддержку, объяснил подробно ситуацию, в ответ пошло «пришлите нам скан паспорта» и прочая чушь, то есть сотрудников поддержки в принципе не особо заинтересовала ситуация с доступом третьих лиц к аккаунту, которого вообще не должно было быть изначально, не говоря про то, что домен можно было просто «угнать». Чуть позже, видимо, осознав суть проблемы, начались истории про «третьи лица не имеют доступа к аккаунту», но объяснить факт наличия на аккаунте чужого домена, равно как и двух получателей письма с данными от одного и того же аккаунта они не смогли, выдав, что это просто сбой при переносе (которого не должно было быть вообще, напомню). Разумеется, всё это было в духе полного пофигизма и даже банального «извините» не прозвучало.
                                                    0
                                                    Со мной случалась уже подобная ситуация, но только с другим оператором.
                                                    Так что большая проблема привязка номера телефона куда либо.
                                                    habr.com/ru/post/458932
                                                      0
                                                      Мне другое интересно: сейчас наше правительство носится с идеей электронного паспорта для граждан, на который должны быть закреплены в одной связке все данные человека от индивидуальной цифровой подписи до емейлов и телефонов (!). А если подобный баг, на сколько я понял весьма распространенный, останется и телефонным номером «поделятся» при таких раскладах? Там же, по идее, может следом потянуться и все остальная персональная информация.
                                                        +2
                                                        Уж будьте уверены, что «потянется» точно, а ещё наверняка будут продаваться. Вспомните хотя бы тут, на «Хабре», не раз вспоминался и «Сбербанк России», и всякие «МегаФоны/МТСы/Билайны», сейчас, вот, «Теле2» подтянулся. Утечки данных, сбои, но никто кроме рядовых пользователей об этом особо-то и не волнуется, вот в чём проблема, и с таким отношением (см. картинку ниже) каких-то перемен к лучшему ожидать не приходится.

                                                        image
                                                          0
                                                          Процитирую свой недавний комментарий на тему приватности и безопасности:
                                                          А в чем проблема? Ну пошумят лохи в интернетах, их никто не послушает, все затихнут.

                                                          Имхо, в России отсутствует спрос на приватность и защиту от своих данных. Можно за 600-1000 рублей купить паспортные данные и данные об истории звонков клиента мобильного оператора? Всем наплевать, нет никаких действий. У банков текли данные о балансах и истории операций? Опять же, всем наплевать, лучше обсуждать тухлятину в магазине и крыжовник. Миллионы аккаунтов ВК можно было взломать, просто прочитав новости на английском и выполнив действия оттуда? Результат известный. Телемедицинские системы дырявые, как решето? Заткнись, тут интересная скидка появилась.

                                                          Пока компании и конкретные сотрудники не будут реально наказываться за проблемы с приватностью, ее у нас не будет. Можно только спорить в интернетах и разочаровываться, что я сейчас и делаю.

                                                          Вышла эта статья, собрала кучу плюсов и обсуждений. Но при этом я почти уверен, что никто не написал в Теле2 вопрос «Какого хрена вы так плохо работаете?» Даже самого тупого кодера не лишат хотя бы премии, ведь фичи пилятся, юридических проблем нет, все хорошо. В первом комментарии под статьей я написал о том, что есть серьёзная уязвимость, предложил связаться со мной. За два рабочих дня никто это не сделал, зачем?
                                                            0

                                                            Со мной после публикации заметки вышли на связь (сказав что из Теле2) и уточнили некоторые технические детали.

                                                              0
                                                              Мне пока никто никуда не написал, к сожалению. Видимо, тоже придется публиковать статьи, чтобы Теле2 начал нормально работать :(
                                                                0
                                                                Работать Т2 лучше вряд ли начнёт, а вот статью почитать было бы интересно :)
                                                              +1
                                                              Я с вами согласен во всём, что вы написали, кроме вот этого момента:
                                                              Пока компании и конкретные сотрудники не будут реально наказываться за проблемы с приватностью, ее у нас не будет.
                                                              Мне кажется, что это в принципе нереализуемо, пока системой является что-то вроде «рука руку моет, вор вора кроет», и это относится не только к миру технологий — это проблема всей нашей страны, начиная с обычных кассиров в магазинах, которым можно швырять продукты, «бычить» на покупателей, и при этом долго оставаться на рабочем месте, продолжая коллективной безответственностью в тех же IT-компаниях, заканчивая уже политиками. Сколько себя помню, ни разу не было периода в жизни, чтобы в стране не было то дефолтов/кризисов, то войн, то терактов, то ещё чего-то. В этой во всей мясорубке люди пытаются создать себе «зону комфорта», и большинству наплевать, что она полностью искусственная и перспектив в ней нет. Медленная агония «стабильности» предпочтительнее любых перемен. Это я к тому, что бесполезно «наказывать» шестерёнки, когда хреново работает весь механизм целиком.

                                                              А про уязвимости я уже давно понял, что компании слишком заигрались со всякими программами баг-баунти и забыли в своих уютных офисах кого бояться надо, позволяя себе дурковать и не обращать внимания на очевидные проблемы. Та же коллективная безответственность, в общем.
                                                                +1
                                                                Про наказание шестеренок: я думаю, что в текущих реалиях у нас есть два пути — либо все остаётся как есть, данные текут, системы падают, айтишники получают премии, либо правительство потребует реальной безопасной цифровизации (ненавижу это словно, но все же) важных сфер, признает их стратегическими, тогда айтишники будут нести реальную ответственность, вплоть до уголовной, за уязвимости и утечки. Я весьма этого опасаюсь, но боюсь, что это один из немногих способов заставить разрабатывать безопасные системы, а не впиливать фичу ради премии и уходить в 17:55, говоря всем, что проблем нет.

                                                                Про Bug Bounty: более того, кажется, куча компаний не понимает, что они пытаются заигрывать не с котёнком без когтей, а с хакером, у которого есть выбор. Условный ВК реально считает, что я понесу следующую серьёзную уязвимость к ним, а не куда-то ещё. Я-то никуда не понесу, но и им не отправлю, а вот другой хакер, который прочитал о том, что на его сообщение могут отреагировать настолько неоднозначно, продаст ее на чёрном рынке, чтобы получить реальные деньги, вместо возможных «up to N USD».
                                                                  0
                                                                  тогда айтишники будут нести реальную ответственность, вплоть до уголовной, за уязвимости и утечки
                                                                  Это только нагрузку на кадры даст и сделает сферу IT в данной стране менее перспективной и популярной. Один пример происходящего идиотизма с Телеграмом чего стоит, когда решительными действиями вновь раскачивается молодёжная «IT-лодка» в направлении «пора валить», ибо никакой другой модели поведения и взаимодействия, кроме приказной и силовой, сейчас правительство предложить людям не хочет не может. А вот первый сценарий никаких проблем и напрягов вообще не создаст, всё останется как есть, на общей волне пофигизма, разве что иногда будут кого-то публично «пороть».

                                                                  Про баг-баунти: о том и речь, и за примером далеко ходить не нужно уже сейчас (привет, Яндекс).
                                                          0
                                                          Есть такое, недавно столкнулся со схожей проблемой.
                                                            0
                                                            Как видно, повторить процедуру захвата управления чужим номером Теле2 несложно, главное уметь ждать :). Так что не удивляйтесь, если ваш телефон начал активно делиться гигабайтами с незнакомыми номерами без вашего ведома.


                                                            Банальная ошибка.
                                                            Будто бы вы в вашей работе их не допускаете?

                                                            А уж раздули, раздули. Желтизна в заголовке — а по сути ничего.

                                                            Что значит «захватить номер просто — нужно только уметь ждать»?

                                                            Чтобы захватить случайный номер случайного человека?
                                                              0
                                                              Банальная ошибка.
                                                              Будто бы вы в вашей работе их не допускаете?

                                                              Если бы хирург, не дай Бог, конечно, пришил вам ухо к жопе, то вы бы также отреагировали на случившееся? Хирург бы в вашем лице, скажем так, нашёл бы полное понимание сложившейся ситуации?
                                                                +1
                                                                Оператору было дано время на устранение «ошибки» — месяц более чем достаточно на мой взгляд. После статьи доступ по веб перекрыли в течение 6 часов. Звезды сошлись или просто кто-то получил подсрачник? Заметка лишь показывает отношение Теле2 к данным и деньгам абонентов.

                                                                Да и карма у вас что-то не очень, так что остальное комментировать думаю не стоит — зачем кормить тролля?

                                                                  +1
                                                                  Чтобы захватить случайный номер случайного человека?

                                                                  Только вот если этим человеком случайно окажетесь вы и вам подпортят жизнь, то сразу по-другому заговорите. Автор вон без задней мысли отключил интернет, а человек мог остаться без интернета в чужом городе или не смог вовремя отправить рабочие документы.
                                                                  0

                                                                  Переходил со своим номером от другого оператора, значит не в группе риска!)

                                                                    0
                                                                    немного не в тему, но мб кто подскажет,
                                                                    Теле2 в Мск, после каждого пополнения баланса на экране телефоне (iphone 8+) вылезает даже на заблоченном экране предложение подписаться на гороскопы или типа того, за жалкие 7р/день.

                                                                    Как-то от этой замечательной возможности можно отключиться? Спасибо.
                                                                      0
                                                                      Проблема ведь не в том, что остался доступ к ЛК! Дело в том, что система Теле2, очевидно, позволяет привязать тот же самый номер к другой симке другого клиента (без деактивации первой симки) — что намного хуже.
                                                                        0
                                                                        добавлю баг по доступу в ЛК от МегаФона.
                                                                        Был у меня красивый, но не сильно нужный номер (четыре нуля и все дела...). Время от времени я его пополнял, иногда забывал и приходилось проводить разблокировку в офисах обслуживания. Пароль от ЛК был установлен. Однажды, зайдя в ЛК для проверки, обнаружил там чужие ФИО (и похоже, что регион тоже сменился). Так уже 2 года. Вот только что проверил — до сих пор пускает.
                                                                          0
                                                                          А через ЛК, например, можно заблокировать номер…

                                                                        Only users with full accounts can post comments. Log in, please.