Как стать автором
Обновить
0
Рейтинг
Поиск VPS
Помогаем найти самый лучший виртуальный сервер

Билайн отправляет детализацию разговоров посторонним людям

Блог компании Поиск VPS Информационная безопасность *Анализ и проектирование систем *Сотовая связь IT-компании
В 2015 году я написал несколько статей про оператора связи Билайн и его игры с HTML-кодом:


С того момента оператор более не был замечен в подобного рода инцидентах, а сегодня я хочу рассказать о том, как Билайн отправлял детализацию разговоров не владельцу номера.



У любого оператора есть возможность просмотра детализации звонков и других услуг через личный кабинет, также часто можно встретить опцию, при подключении которой оператор будет отправлять файл с детализацией на почту раз в месяц. Функция довольно удобная, и в какой-то момент я решил ей воспользоваться, подключив ее на все мои 8 номеров. Часть номеров использовалась только под интернет в планшетах и модемах, поэтому наизусть их я не помнил.

В какой-то осенний день получив файлы детализаций и бегло просмотрев их, я увидел в детализации для одной из SIM-карт незнакомые мне номера и прочую информацию, да и сумма расходов на мою была не слишком похожа. Первая мысль — кто-то получил дубликат SIM-карты и начал тратить деньги, но эта идея сразу отпала, так как все SIM-карты рабочие, а детализация приходит за прошедший месяц.

Выполнив в почте поиск номера телефона, указанного в подозрительной детализации, я увидел много писем с этим же номером, но отправленных более полугода назад. В тот момент я понял, каким образом ко мне попала детализация с конфиденциальными данными абсолютно другого человека, но я не мог понять, как оператор связи допустил такую ошибку.



Разгадка оказалось очень простой. У Билайна есть замечательная услуга — смена номера. Если по какой-то причине вам надоел ваш текущий номер телефона, и вы хотите его поменять, то сделать это можно не выходя из дома: всего за 30 рублей и пару минут можно получить другой номер, который будет привязан к существующей SIM-карте. Услуга довольно удобная, и примерно за полгода до описываемых мною событий я решил ей воспользоваться (лайфхак: никогда не звоните в автомобильные салоны с «живого» номера, перезванивать будут каждый день). Смена номера прошла успешно, и я благополучно об этом забыл.

Как вы уже, наверное, догадались, через полгода мой старый номер обрел нового владельца, но по какой-то причине связка “номер и e-mail для отправки детализации” не обновилась, поэтому я получал детализацию разговоров, которые совершил текущий абонент моего старого номера. Через сотрудника Билайн я сразу рассказал о найденном мной баге и получил ответ, что баг будет исправлен в самое ближайшее время. К сожалению, данный сотрудник больше не работает в этой компании, поэтому статус уязвимости мне не известен, хотя я и очень надеюсь, что за 3 года ошибка была исправлена.

Конечно, данная уязвимость не позволяла получать детализацию какого-то конкретного абонента, как не было и вообще каких-то гарантий, что старый номер получит нового владельца в краткосрочной перспективе, однако учитывая, что в последние годы операторы не получают новые пулы номеров, и абоненты используют б/у номера, то перспектива получения посторонним человеком данных о звонках и SMS не очень радует.
Теги: билайнуязвимостьдетализация
Хабы: Блог компании Поиск VPS Информационная безопасность Анализ и проектирование систем Сотовая связь IT-компании
Всего голосов 25: ↑13 и ↓12 +1
Комментарии 13
Комментарии Комментарии 13

Похожие публикации

Лучшие публикации за сутки

Информация

Сайт
poiskvps.ru
Численность
2–10 человек
Дата регистрации

Блог на Хабре