Комментарии 13
Что-то давно нужно делать с операторами! У них никакой ответственности за симки.
ОПСОСы не подписывались работать фактором авторизации. То что их в этой роли используют всякие твиттеры, да еще и сбрасыват пароли обладателям лишь одного ненадежного фактора (симки) — проблема прежде всего твиттера и подобных.
Я думаю, ideological имеет ввиду, что заменить симку у ОПСОСа очень просто. Что там, что у нас, в России, таких случаев, когда симку получает совершенно левый человек, и ОПСОС не несет никакой ответственности, море. Максимум, привлекают к ответственности непосредственного продавца сим-карт. А если бы параллельно накладывался штраф в размере не меньше 100% от нанесенного ущерба — думаю, ОПСОСы призадумались.
Эта проблема — сложнее, чем может показаться. Например, узким местом может быть аутентификация. Оператор вынужден доверять третьей стороне (органу, выпускающему удостоверение личности) для того, чтобы клиент мог восстановить SIM в случае, если он "всё потерял". А использовать биометрию сам клиент может не захотеть. И так далее.
Вот как вспоминается, особых проблем с органами, выпускающими удостоверения личности, у операторов нет. Обычно это купленный сотрудник, которому, максимум, светит увольнение с «высокооплачиваемой» работы.
В качестве байки: ещё до короны я был в отпуске за рубежом, потерял симку, и стал восстанавливать её через «чат поддержки» опсоса. У меня в целях аутентикации спросили номер паспорта и последние четыре цифры номера карточки, после чего новую симку отправили с курьером по названному мной адресу (не моему, у меня-то дома пусто). А вот если бы опсос «устранил все внутренние проблемы» и требовал визита в офис с удостоверением личности, то все сервисы, завязанные на номер телефона, оставались бы мне недоступными до возвращения домой. Не уверен, что это благо.
Ну естественно, если анализировать все ситуации восстановления, выяснится, что клиенты, в массе, готовы поступиться безопасностью в пользу удобства, и это не странно. Было бы, в принципе, неплохо, если бы какой-нибудь MVNO занял эту нишу, обеспечивая более высокие требования к аутентификации и т.п. за отдельную плату.
С одной стороны очень удобно когда вот так клиентоориентировано, с другой стороны если бы у вас увели все деньги со счетов и все аккаунты с котиками… Вы бы не были так довольны по возвращению домой. Даже если ужесточить ответственность ОПСОСов, остается метод доверенности (достоверность которой не проверить), остается метод коррумпированности сотрудника салона сотовой связи. И даже если совсем все прижать, ввести биометрию, нотариальные доверенности, канал не будет перекрыт, а права и свободы будут ограничены.
Единственный правильный путь — раз и навсегда уяснить, что телефонный номер не является подтверждением личности ни в какой форме, необходимо использовать одноразовый шифроблокнот либо другие устройства криптодоступа. Вроде как был некогда концепт пластиковой карты с генератором паролей, и если я ничего не путаю, одно вермя поддерживался яндекс деньгами.
v1000 А крупные пользователи готовы оплачивать для себя этот гемор? И готовы ли крупные игроки ради этой незначительной прибыли вводить, тестировать и поддерживать непопулярные и маловостребованные механизмы?
Единственный правильный путь — раз и навсегда уяснить, что телефонный номер не является подтверждением личности ни в какой форме, необходимо использовать одноразовый шифроблокнот либо другие устройства криптодоступа. Вроде как был некогда концепт пластиковой карты с генератором паролей, и если я ничего не путаю, одно вермя поддерживался яндекс деньгами.
v1000 А крупные пользователи готовы оплачивать для себя этот гемор? И готовы ли крупные игроки ради этой незначительной прибыли вводить, тестировать и поддерживать непопулярные и маловостребованные механизмы?
Прошу прощение что не по теме, но кроме я нашел также информацию о крупной DDOS атаке на провайдеров интернета.
По некоторым данньм 15% интернета на 30 минут было отключено. Это правда?
Информации не очень много, поэтому я решил не писать статью.
Мощность по одним данньм дошла до 780 Гбит/с. По другим 400 Гбит/с
Новостные каналы и сайты это практически проигнорировали.
Вот Ссылки
vrci.sosyalmedyadanismanim.com/scdgw/1445
www.securitylab.ru/news/510362.php
По некоторым данньм 15% интернета на 30 минут было отключено. Это правда?
Информации не очень много, поэтому я решил не писать статью.
Мощность по одним данньм дошла до 780 Гбит/с. По другим 400 Гбит/с
Новостные каналы и сайты это практически проигнорировали.
Вот Ссылки
vrci.sosyalmedyadanismanim.com/scdgw/1445
www.securitylab.ru/news/510362.php
Первая ссылка — какой-то поток сознания.
По второй написано, что это было в июне. Akamai пишет по этому поводу: https://blogs.akamai.com/2020/06/largest-ever-recorded-packet-per-secondbased-ddos-attack-mitigated-by-akamai.html
Не в покер, а в преферанс… habr.com/ru/news/t/511506
Я вообще удивляюсь, почему не решается вопрос подмены СИМ карт? Если такая проблема существует, почему нельзя для крупных пользователей сделать принудительную верификацию через более надежные системы типа кодовых брелков или аутентификаторов? А ещё блокировку похожих логинов и имён, а также аватарок? Если есть Elon Musk с десятком миллионов подписчиков, чтобы всякие elanmusk, elonmask и прочие шли лесом и не пытались играть в удвоение биткойнов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кто стоит за случившимся в среду эпичным взломом Твиттера?