Бережём свои личные данные на сотовом операторе Velcom

    Сотовый оператор Velcom распространяет приложение «Velcom рекомендует», которое показывает счёт абонента, тариф, подключённые услуги и номер телефона.
    Но вся фишка в том что для этого не нужно логиниться. Приложение само понимает чей счёт показать пользователю, но магия работает только если данные идут через мобильную сеть, а не по Wi-Fi.


    У меня появилась версия что раз сотовый оператор и распространяет приложение, и является провайдером мобильного трафика, то он может определить от какого абонента идёт запрос.
    Допустим он определяет по входящему IP адресу. Тогда что будет если находясь в сети этого оператора раздавать трафик по Wi-Fi? Получается, что другие устройства, подключившись к моему трафику, будут иметь мой IP адрес, а значит и получат доступ к моему акканту.
    Ну что, это не сложно проверить. Мой коллега пользуется услугами данного сотового оператора и я попросил его расшарить Wi-Fi. Затем я зашёл в это приложение и увидел данные счёта этого коллеги у себя в телефоне. Успех.
    Казалось бы это баг: шаришь трафик — а заодно и информацию о своём счёте. Я обратился в службу поддержки, но мне там сказали что всё норм, и что если шарить вайфай, то шарятся и параметры сети, по которым серверная часть приложения и определяет какой пользователь обратился. А значит что такое поведение — это просто недокументированная возможность приложения, хоть и странная.

    Комментарии 6

      +1
      То есть расшарил ты WiFi, а друг подключился, поставил себе приложение и попал в твой личный кабинет, ему доступны все твои личные данные?
      Техподдержка пытается отмазаться, но они неправы.

      Вообще, приложение, запущенное на телефоне может получить доступ к информации (с необходимыми правами, конечно), в том числе и о номере. А сравнить номер с номером аккаунта — самое первое что может придти в голову.

      Можете написать им жалобу письмом и предложить решение.
        0
        Или сделали бы авторизацию по смс
          0
          Такая же ситуация была (и есть?) у МТС. Расшарив интернет по Wi-Fi можно было без логина попасть в личный кабинет.
            0
            И у Мегафона (соответственно, в России, а не в РБ), как я помню, была такая «фишка» с их личным кабинетом.
              +2
              Я расцениваю это только как рукожопость и огромную брешь в безопасности.
              Раньше у Мегафона в личном кабинете можно было найти архив всех смс-сообщений, сейчас до сих пор так?
              То есть цепляемся к расшаренному вайфаю друга, заходим в ЛК и можем сделать что угодно с любым его сервисом, на котором включена, скажем, двухфакторная аутентификация?
              Сменить пароль на почтовом ящике, интернет-банке, даже открыть и завести машину…

              Да тут золотое дно для мошенников… Делаешь что угодно, а потом заявляешь — это был не я, это кто-то украл мой планшет, подцепился к моему вайфаю телефона и перевел все деньги с карточки…
          +1
          Подозреваю, что это приложение — просто браузер в личный кабинет, и все становится логично.
          У мегафона то же самое, и уже давно, а если у вас еще и симка мегафона — то предложит без пароля под кем зайти. На мой взгляд — ожидаемое поведение. Это как с ссылками у тинькова недавно, в которых не нужна авторизация — не ставишь пароль ССЗБ, дал «не тому» человеку — ну в следующий раз не дашь. Пользы от этого больше, если честно.

          Обратная сторона того же мегафона — я купил обычную симку для модема (у меня давно меньше обычного сим), и войти без пароля первый вход не даст(его надо установить). Имел только ноутбук с убунту, пришлось писать парселку смс на самом модеме, так как естественно никто ничего под убунту не выпускает.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое