Yota — или как можно узнать всё

Все действия в данной статье выполнены в ознакомительных целях. Все персонажи произведения являются вымышленными, любое совпадение с реальными людьми — случайно.

Введение


Все началось с того что я прочитал данные статьи про Мегафон.

  1. Как Мегафон спалился на мобильных подписках
  2. «Мобильный контент» бесплатно, без смс и регистраций. Подробности мошенничества от Мегафона

Я был абонентом данной компании на протяжении 12-ти лет, я никогда лично не ловил данные приколы и прочитанное мной привело меня к тому состоянию что я решил сменить оператора.

Мой выбор был не велик (МТС, Билайн, Теле2), но я понял что данные компании промышляют ровно тем же что и выше упомянутая компания. И тут меня осенило что есть компания и название ей Yota.

Но вы скажете ведь Yota принадлежит Мегафону и отвечу, да начнется замкнутый круг.
Все было хорошо, пришел, купил сим-карту начал пользоваться.

Все то ради чего мы тут


Мне нужно было изменить номер телефона в личном кабинете «Почты России»
И я столкнулся с проблемой что данный номер (приобретенный в Yota) уже занят.

image

У меня возник вопрос — а почему так? И вспомнил что у Yot-ы можно очень легко поменять номер телефона прямо в приложении. И может бывший обладатель моего номера просто напросто забыл «отвязать» его.

Скриншот из приложения Yota
image

И меня подцепило любопытство к плохим ознакомительным действиям, а смогу ли я зайти в аккаунт человека у которого был привязан данный номер телефона.

И я с легкостью получил код подтверждения и смог ввести новый пароль.

Код подтверждения Почта Россия
image

При входе в личный кабинет мы видим данную «персональную информацию»

image

И тут мы можем понять что «хромает» все, когда вы меняете номер телефона и забыли про какую-то там почту, кто-то может с легкостью получить вашу «персональную информацию»

На данных действиях я не остановился и продолжил искать


Я решил просто вбить данный номер телефона в поисковую систему «Найдется все»

image

И мы видим страницу бывшего пользователя моего номера.

Сама ссылка мне выдает 404 ошибку
image

Я с легкостью нашел страницу человека через выданный мне город, теперь мы знаем «персональные данные», страницу в ВКонтакте и Steam-аккаунт данного человека.

Что плохой человек смог бы сделать с данной информацией?
Варианты ответов я предоставлю вам.

А мы продолжим, все знают о портале Госуслугах? Да, это именно то о чем вы подумали.
Мы с помощью моего номера телефона и данных который мне вежливо предоставил личный кабинет Почты России, попробуем восстановить доступ к порталу.

Путем ввода номера телефона и паспортных данных, я легко смог восстановить доступ к данному порталу.

И что мы видим? Мы видим все важнейшие документы данного человека.

image

А так же мой номер телефона(+ почта данного человека)
image

Так как мы теперь знаем почту данного человека я решил посмотреть а привязан ли мой номер телефона к ней (спойлер: да).

Код потверждения почты
image

И вот у нас уже есть почта!

Насколько мы знаем если у нас есть Почта России, то владеем всем что к ней привязано, я увидел что почта привязана к следующим аккаунтам: Blizzard, Google, ВКонтакте, AliExpress, GOG.

image
the end.

Вывод


Прежде чем менять номер телефона, убедитесь что вы отвязали все что только можно.

Я даже не могу представить что бы было, если бы данная информация попала к злоумышленникам или людям которые знают больше меня что делать с данной информацией.

Кто тут виноват? Сложно сказать, давайте делиться мнением.
И как бы поступили вы в данной ситуации?

P.S. Прошу прощения за все огрехи, орфографические ошибки. Моя первая статья не судите строго.
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 175

    +27

    Владелец номера сам виноват. Ничего сверхестественного в том что вы показали нет. При чем тут Йота — непонятно, такое могло случиться вообще с любым оператором

      –6
      Тут больше вопрос о том, а по каким критериям Yota понимает, что номер телефона, на который можно поменять свой номер, свободен?
        +1
        По своим договорам и базам конечно. У большинства операторов через полгода неиспользования номер блокируется, вероятно еще какое-то время его можно разблокировать обратно, потом он вернется в пул свободных. Либо при расторжении клиентом договора в явном виде. Как еще они должны убедиться, что номер не используется? Проверить у всех телефонные книжки, чтобы оттуда его удалили (и не названивали например коллекторы, которым предыдущий абонент задолжал)?
          0
          Есть кстати одно исключение из правил (и слава богу), по крайней мере у некоторых операторов.
          Если номер находится в сети в роуминге, то операторы его обычно не блокируют. У меня есть номер Yota, который висит в режиме приема СМС уже третий год без пополнения, как за границу уехал. Соответственно, если буду посещать Россию — буду использовать его.
          Аналогично у знакомого был номер Мегафона, который висел больше 3 лет на приеме на момент нашего с ним разговора и тоже без проблем работал без пополнения.
            0
            Вы не поняли — номера освобождаются по неактивности. Вы же описываете ситуацию где номер все 3 года был активен — регистрировался в сети (я сейчас не вспомню как называется общая сеть операторов, про прослушку которой ещё была статья на Хабре).
            Выньте симку, положите на полку на 6 месяцев, а потом проверьте :)
              0
              Не, спасибо, проверять не буду:)
              Многие операторы нынче лочат еще и при отсутствии платной активности через односторонний разрыв контракта. Собственно я об этом.
                0
                Первый раз слышу о таком. По идеи заблокировать не могут. Вы заключили договор — если заблокируют, они его нарушат. Они могут заблокировать только если у Вас есть ежемесячный платёж (ежедневный) и у Вас баланс на нуле и вы не пополняете его — этим самым Вы выражаете свой отказ от услуг. Но если у Вас тариф который не подразумевает ежедневного списания денежных средств и Вы «включаете» симку т.е. тем самым выражаете своё желание продолжить исполнять договор они не могут Вас заблокировать.

                НО!!! Я не знаю как у всех, но у Билайна раньше была фишка, что если Вы «не пользуетесь» они начинают через 3 месяца за «аренду номера» списывать по 2-3 рубля в день. У меня был iPad (напомню это не Андроид, iPad не умеет звонить и принимать SMS в принципе, вообще, совсем). И у меня стали уходить деньги с симки для планшета, пошел разбираться — вот и выяснил, что я «не пользовался» сим-картой. Ругался, много. В итоге у меня такой фигни больше не происходит. Как у других не знаю. Но ещё раз — заблокировать без хотя бы косвенного Вашего согласия они не могут. Вы его должны в той или иной форме выразить (отказ от получения услуг).
                  0
                  > начинают через 3 месяца за «аренду номера» списывать

                  Это у всех (насколько знаю, лично видел у билайна/мегафона только) сейчас так. Приходится раз в пару месяцев проверять баланс и делать «активность» на всех симках. И то, иногда вовремя забываю, и в итоге уже стопка померших лежит на полке :(
          0
          Сейчас век технологий, одна из них интернет. Есть 3 категории номера: занят, свободен до 3-х месяцев, свободен свыше 3 месяцев. Поэтому когда Вы приложении, работающем через интернет, нажимаете на сменить абонентский номер, Вам предлагаются номера из списка свободен свыше 3-х месяцев.
          –1
          Может быть вы правы, но операторы держат номер телефона в резерве около 2-х лет после того как абонент прекратил пользоваться номером телефона(это мне рассказывали при работе в мегафоне) но в данном случае номер телефона использовался предыдущим владельцем в январе-марте
            +3
            Не уверен насчет двух лет. Мне казалось, что срок гораздо меньше (возможно, это еще частично зависит от занятости диапазона номеров: если большое количество номеров выделено для небольшого региона, то шанс выдать номер сразу после его освобождения очень невелик, если это не «красивый» номер, который хотят получить специально.
              0
              Может, при добровольном освобождении номера этот срок снижен?
                0
                Не знаю как в РФ, у нас минимальный срок поступления номера в пул свободных номеров после расторжения договора устанавливается министерством связи, раньше он составлял 2 года и постепенно снижался, на данный момент он составляет 6 месяцев при общем пуле заполненном примерно на 80%.
                +1
                это мне рассказывали при работе в мегафоне
                И в каких же годах вы там работали?

                операторы держат номер телефона в резерве около 2-х лет после того как абонент прекратил пользоваться номером телефона
                Это уже почти 10 лет не так.
                  0
                  Работал в 2017 году, речь шла о 2-х годах. Сейчас как понимаю сроки в разы меньше из-за большого количества абонентов.
                    +1
                    В 2017 году уже много лет как отстойник был всего 3 месяца. Кто-то тут соврал, правда? Будем считать, что
                    это мне рассказывали при работе в мегафоне
                      +1
                      Не совсем отстойник. 3 месяца это срок неиспользования (нет пополнений, нет списаний), после которого абонент перестаёт считаться абонентом. То есть единицей в том числе, которым раньше любили козырять опсосы — у нас столько то десятков миллионов абонентов.
                      Так как сильный рост числа абонентов давно прекратился, козырять перестали.
                      3 месяца у Би, Мф, Т2. У МТС — 6 месяцев. По крайней мере раньше было.
                      Билайн при переходе с 6 на 3 месяца, если правильно помню, «потерял» 8 миллионов абонентов.
                      Дальше, вроде как через полгода или год договор расторгается в одностороннем порядке.
                      Еще, чтобы списать остатки денег придумали «списание абонентской платы за сохранение номера».
                      А на практике, как получится. У меня есть номер Т2, который не использую уже полтора года.
                      Несколько оставшихся рублей со счёта давно списали, загнав в минус.
                      Но сам номер пока живой. Симка регистрируется в сети. А когда телефон выключен, говорит просто, что абонент недоступен.
                  0
                  у билайна полгода было в 2012.
                  т.е. я в январе 2012 купил симку с номером, на котором последняя активность была в апреле 2011.
                    0
                    3 месяца стандартно, в редких случаях через 1 месяц уже подключают другому абоненту.
                      0
                      Купил номер мегафона летом 2016 идёт 19 год а мне всё названивают клиенты/банки/ смс по картам были отчёты по платежам Василия автоэлектрика из Москвы. Звонок в банк ничего не дал, мне лишь вежливо ответили что отвязать может только бывший владелец номера при личном визите.
                        0
                        через 50 лет они будут звонить и спрашивать Василия
                          0
                          Поставьте автоответчик на незнакомые номера. Типа «Вы звоните с незнакомого номера, оставьте смс, кто это». И пусть названивают, сколько хотят)

                          PS. На Андроид это сделать нельзя.
                            0
                            Можно. Tasker, правда, поковырять придётся. И, скорее всего, понадобится рут.
                              0
                              Вы уверены? Как он работает? Создаёт виртуальное устройство «гарнитура»? В Андроид можно создавать виртуальные устройства?

                              PS. Если что, Андроид не позволяет любой поток направить на линию звонка. Только с микрофона. Значит нужно:

                              • Либо создать виртуальный микрофон (я не знаю, возможно ли это в Андроид).
                              • Либо произвести специальное устройство, например, bluetooth-гарнитуру.
                              • Либо, к примеру, замкнуть выход на наушники на микрофон. Если это мини-джек, то там в одном разъёме в телефоне 4 контакта, два на наушники и один на микрофон, поэтому наушники можно превратить в микрофон. Если это Type-C с аналоговым выходом (а обычно с аналоговым), то тоже, вероятно, можно замкнуть по такому же принципу, хоть и сделать вручную это будет ощутимо сложнее. Если это Type-C с цифровым выходом, то снова понадобится произвести устройство, которое будет переотдавать цифровой поток.
                          0
                          3 месяца обычно, иногда 6 месяцев, иногда зависит от остатка на номере. В любом случае у всех меньше года.
                            0
                            А может чем красивее номер тем короче, вариантов масса
                            +2
                            Развивая предложение Fenzales (про uuid), неплохая идея:
                            uuid, который выдаётся вместе с номером при каждой смене его владельца и используется только для привязок всяких рассылок и регистраций без с смс
                            Пусть это будет UniqueCurrentOwnerID — код текущего владельца номера (0xFFFF). И конечно нужна поддержка с обеих сторон.
                            Портал при самой первой регистрации телефонного номера должен запрашивать у пользователя его UCOID, а в-дальнейшем при отправке всяческих сообщений отправлять его оператору в начале сообщения (в специальном формате).
                            Оператор должен проверять пришедший в сообщении UCOID с текущим для этого номера. Естественно, при несовпадении сообщение на телефон не отправляется, а инициатору, т.е. порталу, приходит отказ со специальным кодом — абонент с данным UCOID уже не является владельцем номера.

                            Осталось убедить обе стороны сделать хорошо для своих пользователей :)
                              –1
                              А зачем делать хорошо для пользователей? Ещё деньги на них тратить, лучше премии раздать/получить, сестру на работу нанять и отчитаться о прибылях. Они все равно заткнутся и съедят все.

                              Имхо, реальные проблемы безопасности/надежности/доверия не могут быть массово решены, пока нет сообщества пользователей, которое может и будет оказывать реальное давление на компании. Сейчас же у нас есть множество пользователей, которые смеются над неудачниками «Лол, ему кто-то перевыпустил сим-карту и спер все биткоины, вот лох-то» (недавняя история про порт сим-карты), игнорируют проблемы, а потом удивляются, что всем остальным все равно, когда проблема касается уже этого человека.

                              Сейчас пользователи не хотят мотивировать компании делать безопасные системы, поэтому компании вполне спокойно могут плевать на безопасность/надежность, особенно, если государство не оштрафует за что-нибудь.
                                0
                                Приедет «барин», «барин» нас рассудит. А «барину» фиолетово на своих «холопов». «Холопы» тоже самоорганизоваться не умеют. Вот так и живем в вечном ожидании чуда
                              +2
                              Такое уже есть, тот же Сбер при отправке сообщений для восстановления паролей проверяет imsi сим карты, и если он не совпадает то предлагает позвонить в контактный центр и произвести повторную привязку. Эта схема будет работать если текущий абонент поменял сим карту, либо новому абоненту выдали номер телефона другого человека, imsi поменяется в любом случае.
                              Но тут вопрос, если в сбере есть контактный центр который может провести «доавторизацию» пользователя, то как быть другим сервисам непонятно.
                                0
                                Можно так: говорим клиенту, запросившему код, что код (к примеру, для смены пароля) он получит через N суток, при этом в интерфейсе сервиса вешаем большой баннер, что кто-то ждет код на номер телефона, который привязан к вашему аккаунту + рассылаем по всем контактным данным эту инфу. В итоге, если код запросил злоумышленник, то у владельца акка будет время на реагирование.
                                Что-то похожее делает gmail, когда будучи залогиненым в гмыло, пытаешься сменить пароль, но не можешь ввести старый для подтверждения. В этом случае сервис говорит, что код для смены пароля придет на почту через сутки. Таким образом, если ты честный юзер, то получишь код через сутки и сменишь пароль, если ты злоумышленник, пытающийся увести аккаунт, пока владелец отошел в туалет и не залочил комп, то у тебя ничего не выйдет.
                                  0
                                  Вроде ж у ВКА именно так и было?
                                  А привязка симкарт — вменяемые банки это делают. Ну или стараются.
                                  К сожалению — ТОЛЬКО банки похоже.
                                  При этом — получить IMSI данные вроде как не проблема (платные легальные сервисы рассылки эту услугу вполне себе предоставляют, не бесплатно но дешевле чем отправка SMS) и даже API красивые есть.
                                  +2
                                  У того же Сбера это то работает, то не работает, то через несколько месяцев после смены симки банит, то вообще в этом регионе не работает или работало когда-то.
                                    +1
                                    Подтверждаю — сработало при замене симки. А вот смену оператора Сбербанк посчитал недостаточным поводом для срабатывания системы.
                                    Но хорошо, что они хотя бы думают об этом. ))
                                      0
                                      Заметил, что срабатывает при попытке создания шаблона платежа. Вот так тупо, платить с карты на организацию/услугу можно и коды подтверждения приходят, но стоит создать шаблон — блок всех возможностей до подтверждения SIM.
                                        0
                                        Не замечал такого, может вы первым делом после регистрации нового устройства создали шаблон?
                                    0
                                    Есть решение проще. При отправке сообщения отправлять оператору дату создания учётки в сервисе. Оператор сравнивает её с датой оформления симки, далее очевидно.
                                      0
                                      И оператору взаимодействовать со 100500 сервисов? А оператору это зачем? Ну банки, скажем, еще можно понять. Ну крупные мыла. А какоенить угутутумыло.ру оператор уже пошлет в дальнее пешее эротическое. И будет прав. А юзер — негодовать.
                                        0
                                        Для этого не требуется какое-то особое взаимодействие. Достаточно принять спецификацию — например, вписывать дату в начало текста смс.
                                        Ну а насчёт того, зачем это оператору — делали же операторы фичи навроде «знак вопроса в начале смс запрашивает подтверждение доставки». Всё для блага их же абонентов.
                                    +1
                                    Ситуации разные бывают, с человеком могло что-то случиться (тюрьма/болезнь/смерть), что он не смог оплачивать и его номер через полгода отдали кому-то. Все операторы и сервисы должны делать какую-то проверку, что при неиспользовании сервиса в течении полугода, разблокировку надо проводить как-то иначе.
                                      +1
                                      операторы никому ничего не должны. Они ПАО, а не благотворительные организации, живущие за счет жертвователей. Они работают в рамках закона. Вы можете подать депутату от Вашего нашего населенного пункта идею подобного закона. Альтернатива — напишите в Спортлото.
                                    +5
                                    Все персонажи произведения являются вымышленными, любое совпадение с реальными людьми — случайно.
                                    А срок является реальным: эта — просто эталонный пример того, что нельзя и не надо делать, если занимаешься безопасностью, а не взломами. Взлом нескольких аккаунтов, использование этих данных для доступа к другим аккаунтам. Очень надеюсь, что эта статья — последняя статья, которая связана с этой историей.
                                      –3
                                      Мне кажется я не совершил никаких незаконных действий(мне так казалось, могу ошибаться), я использовал номер телефона приобретённый мной у йоты, договор у на окончание услуг тоже присутствует. Я проходил вполне обычную процедуру постановления пароля без «взлома» чего либо.
                                        0
                                        Да, вы зашли со своего привязанного номера. Да, сервисы дырявые, что так легко дают попасть в личный кабинет по номеру телефона. НО! Это не отменяет того факта, что вы зашли в чужую почту, чужой личный кабинет, итд.
                                        Просто представьте, что какой-то банк вам предоставит такую-же возможность войти в личный кабинет и потратить чьи-то деньги(на самом деле нет, но просто представим). Значит ли то, что раз банк вас к себе впустил, то деньги на счете — ваши? (ответ — нет).
                                        Закон обычно встаёт на защиту дырявых сервисов, с позиции «У всех сервисов можно найти дырки, ушлые хакеры взламывают даже пентагон. А дырявость сервиса не делает законными ваши действия на нём.»
                                          0
                                          Все же печально осознавать что в действительности все так дыряво и плохо работает с точки зрения безопасности
                                    +6
                                    А не проще было не менять номер, а просто перейти на другой оператор с сохранением номера?
                                      0
                                      Может быть проще, но я решил оставить свой старый номер телефона
                                      Начал жизнь с чистого листа так сказать xd
                                        0

                                        Не работает при смене региона проживания и, тем более, страны.

                                        0
                                        Вы (не?)случайно спалили кусок фамилии вымышленного персонажа в скрине смс от mail.ru :)
                                          0
                                          Действительно, но слава богу что это выдуманная фамилия намного длиннее
                                          +1
                                          А были уже здесь чьи-нибудь репортажи про уязвимости например в механических замках, из серии «время 3 часа ночи, вот мы совершенно без проблем открываем универсальной отмычкой входную дверь и проникаем в квартиру, тихо, чтобы никого не разбудить, подходим к кровати владельца квартиры, это довольно симпатичная девушка, хорошо что на нашем месте не плохой человек, представляете, что могло бы произойти?».
                                          Тут главное доказать потом, что ты хороший, и всё делал исключительно в познавательных целях.
                                            +4
                                            Главное, чтобы в этой истории ключ у тебя оказался купленным у производителя, которому бывший пользователь этот ключ вернул за ненадобностью. А открываемая квартира не являлась в прямом владении у «бывшего пользователя ключа», а предоставляется некой площадкой, которая считает, что владелец ключа == владелец квартиры. Иными словами ты купил ключ и пошел регистрироваться на площадке квартир и случайно оказался не в своей новенькой квартире, а в какой-то чужой и старой. Кто окажется виноват в таком случае?
                                              –2
                                              Ну как бы не совсем так, всё что было дальше посещения личного кабинета Йоты можно рассматривать так: ты можешь совершенно легко приобрести свою квартиру или несколько, вставить туда соответствующий замок, под этот ключ. Но ты пошел (специально, не случайно) в уже заведомо занятую, купленную кем-то квартиру, т.к. знаешь, что ключ тебе достался от её владельца. А тот владелец замок менять не стал, по глупости или забыл, ключ соответственно подошел. Ты открыл, зашел, походил, посмотрел, но брать ничего не стал, ты же приличный человек (да?).
                                                0

                                                К чему сложности, достаточно представить себе обычный отель с ключами на ресепшене.

                                                  0
                                                  О, нам так электронный ключ выдали. Что что-то не так поняли, когда перед нами мужик зашёл в наш номер (повезло). У него ещё сутки впереди были оплаченные.
                                                0
                                                или людям которые знают больше меня что делать с данной информацией.

                                                Особенно эта фраза доказывает что не знал как ограбить делал всё исключительно в познавательных целях.
                                                0
                                                Давно уже назрела необходимость либо вводить uuid, который выдаётся вместе с номером при каждой смене его владельца и используется только для привязок всяких рассылок и регистраций без с смс, либо удлинять сами номера телефонов и перестать заниматься их жонглированием между клиентами.
                                                  +4

                                                  Телефон v6? :-)

                                                    0
                                                    Тут фигня не в том, что не хватает длины номера, а в оплате оператором за неиспользуемые номера из зарезервированной номерной емкости. Много подробней уточнит многоуважаемый Сергей «дед» Serviceman, если сочтет необходимым.
                                                      +1
                                                      Кажется, цена резерва номера обусловлена, в основном, не какими-то затратами на его поддержание, а платой за то что это ограниченный ресурс. Было бы доступных номеров больше, их бы так активно не переиспользовали.
                                                        0
                                                        Ограниченность номерного пула очень сильно преувеличена. Раскладка по +7 сейчас такая:

                                                        — 10% (0хх) навсегда выведены из эксплуатации с благой целью, которая так и не достигнута и уже мало кому нужна на данный момент
                                                        — 20% (6хх, 7хх) отданы Казахстану (из которого он использует мизерную часть)
                                                        — 30% (3хх, 4хх, 8хх) используются эксклюзивно под «городские» номера, количество которых практически не прирастает
                                                        — 30% (1хх, 2хх, 5хх) в абсолютно непонятном резерве
                                                        — и только оставшиеся 10% используются под самую популярную в стране связь — мобильную.

                                                        Доступных номеров сколько угодно, вопрос в нежелании операторов лоббировать открытие новых диапазонов. Ведь гораздо выгоднее снять баланс в ноль и подключить нового активного клиента, нежели держать номера годами в надежде, что клиент вернётся сам и потратит свой баланс.
                                                          0

                                                          Текущий формат в девять цифр +7 9 XXX XXX XXX даёт нам миллиард вариантов, зачем вы смотрите на соседние префиксы?

                                                            0
                                                            Не все диапазоны из миллиарда как я понимаю разрешены для выдачи?
                                                              0

                                                              Может быть и так, но выше нам зачем-то дают выкладки по префиксам вида +7 4(95) (Москва) ,+7 3(91) (Красноярск) и тому подобных, а все мобильные операторы скрыты за единым префиксом +7 9..

                                                                0
                                                                Операторов тоже дробят по префиксам. Т.е. по первым цифрам номера можно понять и оператора и регион. Т.е. из-за такого кромсания количество в реальности меньше. Список можно посмотреть на мтт
                                                      0
                                                      Существует ИНН и СНИЛС. Вы предлагаете мне ради людей с отсталостью в развитии еще один код идти получать?
                                                        +1
                                                        Я бы не стал сообщать подобные сведения при регистрации почты. Хотя я и телефон бы не стал.
                                                      +14

                                                      Привязка чего-бы то ни было к мобильнику — большая глупость. Всегда пытался всеми силами избегать привязки телефона к сервисам, потому что опасался именно такого сценария.
                                                      Очень жаль, что эта глупость становится всё популярнее среди IT-компаний и банков. Дырявее мобилок только биометрия.

                                                        0
                                                        Хм, я везде регистрировался через почту, пароль к ней более-менее надёжный, больше его нигде не использую и привык к тому, что все восстановления доступа через неё. Но в некоторых сервисах приходится номер телефона вводить, потому что без него не работают. Пару лет назад сменил номер и что мне теперь делать? Я даже не помню, где остался привязан старый телефон, а тем более не знаю, куда с ним можно получить доступ.
                                                          0
                                                          Надо вести электронную табличку, в которую всё это и записывать, чтобы потом не вспоминать.
                                                          Но да, это конечно же не типовой сценарий.
                                                            0
                                                            После данной ситуации, создал табличку где привязывал номер телефона. Потому что стать жертвой лишь из-за того что забыл что-то отвязать не очень хочется.
                                                              0
                                                              Электронная табличка может быть потеряна (глюкнул винт например).
                                                              Я все действия в инете (которые могу забыть) записываю в бумажную записную книжку.
                                                                0
                                                                А бумажную записную книжку хранить в несгораемом сейфе :)
                                                                Те кто станут в том или ином виде вести такой учёт, догадаются о резервном копировании
                                                                и шифровании на случай чего.
                                                                  0
                                                                  А несгораемый сейф — в непотопляемой лодке прибит гвоздями.
                                                                    0
                                                                    Гвозди обязательно должны быть нержавеющие, а то проржавеют и потопят сейф!
                                                            +1
                                                            жаль, что эта глупость становится всё популярнее

                                                            Добро пожаловать в капитализм. Бизнес просто опускается до среднего уровня обывателей (вместо того, чтобы тянуть их культуру вверх). У народонаселения количество аккаунтов растёт — мозг не справляется, поэтому самое простое решение — тупо повесить всё и вся на номер телефона. Ну и товарищ майор весьма не против.
                                                              0
                                                              Это не глупость — это средство контроля на Вами. Вас так быстрее найдут спецслужбы. Не выдумавайте что это нужно банкам.
                                                              +14

                                                              Всем привет! Увидели заголовок и очень взволновались️


                                                              Давайте немного расскажем, как такое может случиться. К сожалению, диапазон номеров у всех операторов ограничен и люди не всегда пользуются одним номером. Номера теряются/меняются/забываются и со временем, новому пользователю может попасться номер, который уже кто-то использовал раньше. Эта ситуация вполне стандартна и для того, чтобы обезопасить пользователя, который потерял свой номер или забыл сменить его на каком-либо важном для него ресурсе, номер после расторжения договора попадает примерно на три месяца в отстойник, откуда он не может быть передан другому пользователю. Обычно этого времени достаточно для того, чтобы каких-то «хвостов» не осталось, но, по рассеянности предыдущего владельца, такие случаи могут происходить. Сейчас номер телефона значит довольно много и очень важно относиться к своим данным ответственно, особенно при смене номера телефона.
                                                              Надеемся, что мы смогли раскрыть немного подробнее данную ситуацию и прочитавших пользователей не введет в заблуждение заголовок :)

                                                                +1
                                                                Хорошо, более понятно почему так.
                                                                А теперь назревает другой вопрос, что мне делать если мой номер телефона (только приобретенный) привязан к совсем другому аккаунту (к той же почте), мне нужно как-то находить человека и просить его что бы он любезно отвязал его бывший номер телефона?
                                                                Было бы более разумно рассказывать человеку про то что его номер телефона при его замене так и останется быть привязанным в разных аккаунтах, почтах и т.п.
                                                                И что бы он в течении 3-х месяцев (в данном случае) отвязал номер телефона от аккаунтов где он раннее использовался.
                                                                Как считаете?
                                                                  +1

                                                                  При смене номера мы обязательно оповещаем пользователя, что данный процесс необратим и обращаем внимание, что номер, от которого пользователь отказывается при смене, может назначиться новому клиенту. Рекомендуем изменить номер телефона, указанный в банках, социальных сетях и других сервисах на актуальный.

                                                                    –3
                                                                    Вы понимаете, насколько это затратно по времени? Вообще я не понимаю почему бы не блокировать просто номер, не передавая его другому человеку
                                                                      +4
                                                                      Да потому-что пул номеров — не бесконечный ресурс
                                                                        0
                                                                        Теоретически он бесконечный. Как с автомобильными номерами, делаем дополнительный код страны и вперёд.
                                                                        Или вот к примеру — iNum Initiative
                                                                        15 цифр в номере, есть где развернуться.
                                                                        Как в случае с IPv4 -> IPv6 вопрос решаемый.
                                                                          +1
                                                                          Много чего можно теоретически, но практически, СЕЙЧАС, это ограниченный ресурс.
                                                                          0
                                                                          Люди, их жизнь и безопасность важнее технических проблем операторов. Я уверен, что у операторов работают неглупые люди и что-нибудь придумают. Но та система, что есть сейчас — гнилая и угрожает безопасности абонентов
                                                                        0
                                                                        А если человек в тюрьме или заболел надолго, ему уже ничем не помочь?
                                                                        +1

                                                                        Мы оповещаем пользователя (как написали выше), если он обратился в нашу точку продаж и обслуживания для смены номера.


                                                                        Если произошла такая ситуация, то оператор со своей стороны проследить за процессом, увы, не может и все зависит только от порядочности нового владельца номера. Как вариант, вы можете сменить номер в приложении на новый и таким образом отправить номер прошлого владельца снова в отстойник.


                                                                        Что касается предупреждений, то это часто бессмысленно – пользователь мог просто потерять номер и он не получит никакого предупреждения. Поэтому в современных условиях только ответственность владельца номера поможет ему избежать подобных негативных историй ️


                                                                        Со свой стороны мы обсудим с коллегами данный кейс и, возможно, в будущем найдем варианты как снизить возможность возникновения подобной ситуации. Спасибо!

                                                                          +2
                                                                          Как рядовой пользователь сотовой связи — не вижу смысла в каких-либо оправданиях. Вы не виноваты. Виноваты только те идиоты, которые решили использовать номера телефонов для подтверждения чего-либо. Сейчас даже учетку эл. почты без телефона в сервисах «для широкого круга пользователей» не зарегистрируешь.
                                                                          Я покупал сим-карту Билайна Вымпелкома весной для ребенка и попал в полностью аналогичную ситуацию. Только я выяснил почту человека и вежливо написал письмо с просьбой отвязать номер от всех сервисов, которыми он пользовался. Парень оказался вполне адекватным и сменил все что можно, включая пароли :)
                                                                            0
                                                                            Как рядовой пользователь сотовой связи — не вижу смысла в каких-либо оправданиях. Вы не виноваты

                                                                            На мой взгляд, виноваты все сотовые операторы, что не предусмотрели решение такой проблемы. Да, решение типа сами разбирайтесь — не решение, потому что пользователь это априори ленивое существо, которое с большей вероятностью не станет менять номер телефона или удалять учетные записи на привязанных сервисах, а скорее даже попросту забудет. Думаю, надо идти по пути ipv4-ipv6, а не придумывать какой-л. дополнительный uid. Лично я бы скорее согласился на уникальный телефон типа +7v4xf9oflzsj09w6f6azren1, вместо повторения описываемой дичи и прочего
                                                                              +3

                                                                              Каким образом сотовые операторы виноваты в том, как вы используете номер? Система с номерами такая, смиритесь, либо улучшите всем жизнь запилив свою с черным джеком и уникальными номерами… Проще считать, что вам должны? Квартиру вы продадите, новый хозяин получит доступ к забытой заначке, кто виноват?

                                                                                +4
                                                                                Справедливости ради, привязку сервисов по номерам телефонов придумали не операторы. Так что тут косяк скорее за теми сервисами, которые не учли такую проблему. Обязательный ответ на секретный вопрос при сбросе пароля уменьшил бы количество неправомерных доступов к чужим аккаунтам на порядки.
                                                                                  +1
                                                                                  Зато увеличил бы количество случаев, когда пользователь забыл не то, что ответ на вопрос, а сам вариант вопроса.
                                                                                  А варианты типа девичьих фамилий матери, не очень стойкие, люди сами о себе всё вываливают в соцсети.
                                                                                    0
                                                                                    люди сами о себе всё вываливают в соцсети.

                                                                                    а тут — ССЗБ.
                                                                                    Ведь, КМК, совсем несложно придумать уникальную пару вопрос-ответ и в мозгу поставить ментальный блок «об этом — никому и никогда!». Я такое некоторое время практиковал — было любопытно. Но потом пришел к другому решению — в качестве вопроса та самая «девичья фамилия матери», но вот ответом — имяфамилия_дата_первого_секаса юношеской влюбленности. По отдельности — все знают. Ну кроме последнего, да ;) Вместе — ну, угадывайте что там на самом деле в качестве ответа ожидается…
                                                                                    +1
                                                                                    Обязательная привязка номера это очередной ФЗ, вступивший с 01.01.2019. Вы живете не в РФ?
                                                                                      0

                                                                                      Есть привязка номеров для мессенджеров (обмена мгновенными сообщениями), там же про "отвязку" за сутки после расторжения договора.
                                                                                      http://publication.pravo.gov.ru/Document/View/0001201811060001?index=3&ref=vc.ru (https://rg.ru/2018/11/07/internet-dok.html)
                                                                                      Постановление Правительства Российской Федерации от 27.10.2018 № 1279 "Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети "Интернет" организатором сервиса обмена мгновенными сообщениями" (вступает в силу с мая 2019)


                                                                                      Обязанность по проведению такой идентификации предусмотрена ч. 4.2. ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации".

                                                                                      (ч. 4.2. ст. 10.1 внесена Федеральным законом от 29 июля 2017 г. N 241-ФЗ, вступила в силу с 1 января 2018 года.)


                                                                                      Мне не известны законы, которые бы потребовали обязательной привязки тел.номера при заключении каких-то других договоров, или при регистрации в каких-либо сервисах типа почты, банков, и т.п.

                                                                                        0
                                                                                        А до этого ФЗ никто авторизацию по номеру телефона не реализовывал? Ну и уже сказали, что это касается только мессенджеров.
                                                                                    –2
                                                                                    Законодательно запрещены регистрации где-либо без обязательного ввода номера телефона. Читайте законы, обязательные для всех граждан РФ.
                                                                                      +1
                                                                                      С Белоруссией не путайте.
                                                                                        +1
                                                                                        Можно номер закона МОЕЙ_страны где это запрещено? ;)
                                                                                        0
                                                                                        Виноваты только те идиоты, которые решили использовать номера телефонов для подтверждения чего-либо.

                                                                                        Виноваты те идиоты, что предлагают телефон в качестве средства подтверждения.
                                                                                    –1
                                                                                    Вы сказали то, что и раньше было известно.
                                                                                    Скажите лучше, почему операторы не используют «надежные» способы уведомления человека (и подтверждение получения этого уведомления!) о блокировке сим-карты и передаче номера другому лицу?
                                                                                    Я думаю, у вас полно другой информации об абоненте — номера, почта, адрес регистрации. В чем сложность кинуть заказное письмо с уведомлением о вручении и после этого считать пол года + три месяца?

                                                                                    Вы понимаете серьезность проблемы, но реально вы ничего не делаете.
                                                                                      0
                                                                                      Они и не будут делать пока из законодательно не заставят это сделать. Лучше бы многоуважаемая дума принимала законы, которые реально защищают безопасность граждан, а не всякие суверенные интернеты
                                                                                        –1
                                                                                        Ради людей с отсталостью в развитии нужен новый Федеральный закон? Вы хотите оплатить заказное письмо? Вы люди, без отсталости в развитии, знают, что если тебе номер не нужен, то надо заранее все отвязать.
                                                                                          +1
                                                                                          Бывают ситуации, когда человек не может отвязать свой номер — например, банальная смерть. Но виноваты, разумеется, не операторы связи, а те идиоты, которые используют номер телефона в качестве способа уникальной идентификации пользователя не учитывая, что владелец номера может измениться
                                                                                      –1
                                                                                      И тут меня осенило что есть компания и название ей Yota

                                                                                      Как это коррелируется со следующим:


                                                                                      И тут мы вспомнили про Yota. И нам повезло.
                                                                                        +2
                                                                                        Хакер! Уот так уот!
                                                                                          +1

                                                                                          Только одно мне не понятно, причем тут Почта России? Сколько не было номеров как то обходилась без нее.

                                                                                            –1
                                                                                            А как вы посылки получаете, извещение бумажное заполняете?
                                                                                            Чтобы по штрихкоду с экрана смартфона получить нужен телефонный номер, паспорт не спрашивают при этом.
                                                                                              0
                                                                                              Можно просто прийти с бумажным извещением. Если у Вас «упрощенный порядок», то просто придет смс-ка, которую Вы продиктуете сотруднице
                                                                                            +2

                                                                                            Последний раз когда покупал симку у Мегафона спокойно зашел в ВК учетку предыдущего владельца. Очень печально что все форсят привязку мобилы несмотря на то что номер может уплыть после 3 мес не использования.

                                                                                              –1
                                                                                              > номер может уплыть после 3 мес не использования
                                                                                              Не представляю при обстоятельствах основной телефон может вот так запросто «уплыть». Мы звоним друг другу если не каждый день, то через день, пользуемся интернетом, для этого каждый месяц платим за связь. Только если это СПЕЦИАЛЬНЫЙ телефон для двухфакторки. Но тогда человек, который таким заморачивается точно будет следить за своим номером.
                                                                                              Разве что впасть в кому? (тьфу-тьфу-тьфу)
                                                                                                +2
                                                                                                Бабушки, дедушки, которые мобильник используют только для входящей связи от детей и внуков. Друг другу звонят по проводному от Ростелеком.
                                                                                                То есть тариф без абонплаты, на который изредка кидается 20 рублей.
                                                                                                  0
                                                                                                  Бабушки, дедушки

                                                                                                  Но они ведь и двухфакторкой вряд ли пользуются :)
                                                                                                  +1
                                                                                                  Ну я, вот, по телефону почти не звоню — мессенджеры, почты, все такое…
                                                                                                  А нет, звоню. Примерно раз в месяц-два. Отсталым знакомым/родственникам, которые мессенджерами упорно не звонят…
                                                                                                    0
                                                                                                    мессенджеры, почты, все такое…

                                                                                                    И чтобы ими пользоваться ты оплачиваешь пакет интернета на номере.
                                                                                                    +1

                                                                                                    Уехать в Сибирь на вахту. Ну мало ли бывает.

                                                                                                      0
                                                                                                      Друг моряк, работает 2 через 3 кажется. Два месяца в море, три тут. Но думаю есть те, кто и больше могут быть в море, подводники например.
                                                                                                    +6
                                                                                                    Автор, я бы на вашем месте постремался бы выкладывать такой материал, компрометирующий вас же. Теперь остаётся только надеяться, что вашими изысканиями не заинтересуются хмурые дяденьки, которым не хватает «палочки» для выполнения плана раскрываемости по «хакерам».

                                                                                                    PS С учётом того, что, на самом деле, вы совершенно ничего нового не открыли, и дело вовсе не в операторе — такая же история может случиться с номером любого другого — вы совершенно напрасно подставляетесь. Проблема вовсе не в Йоте, Мегафоне или чём-то ещё. Проблема в отсутствии культуры безопасности личных данных в цифровом мире, нет ещё этой культуры. Люди прекрасно понимают, что нужно мыть руки перед едой и предохраняться при случайных контактах, но о том, что нужно неиспользуемый номер «отвязывать» от личных сервисов, пока ещё мало кто задумывается.
                                                                                                      0
                                                                                                      Люди прекрасно понимают, что нужно мыть руки перед едой и предохраняться при случайных контактах, но о том, что нужно неиспользуемый номер «отвязывать» от личных сервисов, пока ещё мало кто задумывается.
                                                                                                      Если номер просто неиспользуемый, но активный и находится под контролем — ничего страшного, не надо отвязывать.
                                                                                                      Проблема-то в другом — что часто номер уходит от владельца помимо его желания.
                                                                                                      А всё из-за чего? Многие сервисы принуждают указывать номер телефона при регистрации, а бедные юзеры, защищая свой основной номер, специально заводят для этого левые одноразовые номера, которым чаще всего в обычных целях не пользуется.
                                                                                                      И потом начинается — Раз в три месяца про это надо вспомнить, Найти симку, Найти свободный телефон, Вставить симку, Докинуть денег(т.к. уже всё списалось за неактивность), Сменить тариф обратно на безабонентский (если возможно), Совершить платное действие, Вынуть симку, Убрать симку в надежное_место, Запомнить дату следующего обряда.

                                                                                                      Тут скорее операторам нужно продумать культуру бережного отношения к персональным данным своих клиентов и о планируемом отъёме номера заранее уведомлять по ДРУГИМ каналам — обычная почта, другой номер.
                                                                                                        0
                                                                                                        Это если есть кого уведомлять. А что делать в случае смерти абонента? Номер он отвязать уже не сможет, а сервис зарегить на занятый номер не даст.
                                                                                                          +4
                                                                                                          Не знаю, как с этим обстоят дела в РФ, но в Казахстане у одного опсоса есть замечательная услуга под названием «Симка в сейфе». Стоит она 1 тенге в месяц (примерно 17 копеек), собственно, кроме списания этой суммы никаких функций больше не выполняет.
                                                                                                          В чем суть? Пока производятся финансовые операции, номер не переключается на абонентку и не может уйти в отстойник.
                                                                                                          17 копеек в месяц — совсем небольшая сумма для избавления себя от головной боли, описанной вами курсивом, согласитесь?
                                                                                                          Если бы у всех операторов была такая услуга и про неё писали чаще — такой статьи, как эта, возможно, не появилось бы. YotaRussia возьмите на заметку.
                                                                                                            –1
                                                                                                            Примерно то же самое есть и в РФ.
                                                                                                            Переходишь на тариф без абонплаты. Раз в 3 месяца пополнить на те же 17 копеек, или смс отправить.
                                                                                                            Другое дело, что эти тарифы без абонплаты стараются спрятать так, что днём с фонарём не найдёшь.
                                                                                                            Ну и да, надо не забыть раз в 3 месяца.
                                                                                                              +3
                                                                                                              > стараются спрятать так, что днём с фонарём не найдёшь
                                                                                                              более того, на точках продаж продаваны врут в лицо «больше нет таких, не подключаем, посмотрите какие у нас хорошие тарифы с пакетами и помесячной платой» (проверено с Теле2)
                                                                                                                0
                                                                                                                Может быть мне не те продаваны попадаются но с МТС например в нескольких разных салонах — прошу СуперМТС (он без абонентской платы) — дают без вопросов (про другие тарифы иногда начинают говорить — сразу прекращают после объяснения зачем нужен тариф без абонетки (в данном случае — с Наш Смарт в паре работать))
                                                                                                                Там скорее в другом проблемы с продаванами — техподдержка говорит одно, в салоне другое, техподдержка другого оператора (он тоже замешан) — третье и в результате перенос номера не проходит потому что данные не те хотя как раз те что просили — предоставили а от меня требуют документы которые по их мнению обязаны быть но которых у меня нет (по закону уже не выдается такое). В результате один из старых номеров пришлось выбросить. Хорошо хоть он на тот момент еще работал на прием хотя уже в блокировке был.
                                                                                                                +1
                                                                                                                На корпоративных номерах такое называется — ежемесячный обязательный платеж. 50 руб. в месяц.
                                                                                                              0
                                                                                                              Люди прекрасно понимают, что нужно мыть руки перед едой

                                                                                                              Да, потому что за меня никто не помоет. Вот, если бы руки всегда оставались чистыми, то мыть бы и не пришлось, но это нереально в нашем мире. Ваш комментарий просто принуждает смириться с этим, как будто это закон природы, но это техногенная проблема, которая может и должна решаться
                                                                                                                +1
                                                                                                                это нереально в нашем мире

                                                                                                                Блин, да БЫЛО же уже всё нормально — когда только интернет шёл в массы. Логин и пароль. Всё. Никаких привязок и прочей дебильной диктатуры. Но нет же — юзеры в интернете день ото дня всё тупее и тупее и давно уже не знают что такое адресная строка — ходят во вконтактики с гугла, логины и пароли постоянно забывают. Кто им виноват в их тупости?

                                                                                                                Верните нам интернет «нулевых»!
                                                                                                                  –4
                                                                                                                  На территории РФ законодательно с 01.01.2019 запрещены новые регистрации без обязательного ввода мобильного номера. Хватит жить в 90-х!
                                                                                                                    +2
                                                                                                                    новые регистрации без обязательного ввода мобильного номера

                                                                                                                    Новые регистрации чего?
                                                                                                                    Вы эту мантру в комментариях к этой статье повторили раз пять уже.
                                                                                                                      0
                                                                                                                      Но я ведь не на территории эрэфии. Вот почему я должен следовать этим дИбильным хаконам?
                                                                                                                        0
                                                                                                                        На территории РФ законодательно с 01.01.2019 запрещены новые регистрации без обязательного ввода мобильного номера.

                                                                                                                        Регистрации чего? Несколько человек попросили у Вас ссылку на закон, как понимаю, ответа нам всем не будет?
                                                                                                                          0
                                                                                                                          Да это просто новый тезис в шпаргалку добавили, похоже, а объяснить его забыли.
                                                                                                                        0
                                                                                                                        С вариантом Логин/Пароль сейчас тоже всё не просто. Один не один банк меня регулярно вынуждает сменить пароль, при этом условием нового пароля ставит наличие в нем символов из весьма ограниченного множества примерно из десяти элементов + соответствие пароля нескольким правилам. Не могу придумать для чего это требуется, кроме как для упрощения брутфорса.
                                                                                                                          0
                                                                                                                          Это странно.
                                                                                                                          Я на каком-то автофоруме регистрировался — так там наоборот — забодали (это ломало мою личную систему «генерации» паролей) с обязаловкой использования в пароле разного регистра, цифр, спецсимволов.
                                                                                                                            0
                                                                                                                            У меня ЛК от трёх банков. В двух из них выбор символов ограничивают (причём это видно только при смене пароля, при входе естественно не говорят — из-за чего постоянно происходили блокировки из-за неправильного подбора пароля, а при смене его я вспоминал что с ним не так и как надо было вводить). Правда не так капитально (набор спецсимволов ограниченный). В третьем пока не пробовал.
                                                                                                                              0
                                                                                                                              В Сбере например пароль регистронезависимый.
                                                                                                                      +4

                                                                                                                      Зачем вообще использовать привязку аккаунтов к номеру телефона? Столько негативных примеров освещалось, что вроде бы должен давно стать очевидным тот факт, что номер — это гигантская дыра в плане безопасности.

                                                                                                                        +1
                                                                                                                        Затем, что подтверждённые номера очень любят маркетологи: по ним можно, например, звонить и предлагать платные услуги сервиса, на котором зарегился абонент. Особо борзые могут продавать аккаунты вместе с номерами налево — кагбэ провайдерам сопутствующих услуг. Ну и про закон Яровой не забываем…
                                                                                                                          0
                                                                                                                          Для контроля за Вами. Других причин нет. Почитайте о новом ФЗ с 1 января 2019.
                                                                                                                          0
                                                                                                                          Очень жаль что опсосы и интернет сервисы не заинтересованы в реализации аналога оповещалки банков о перевыпуске sim только в контексте интернет сервисов и смены владельца номера телефона.
                                                                                                                            –1
                                                                                                                            Это платные услуги. Вы готовы это оплачивать?
                                                                                                                              0
                                                                                                                              Эээ а это ТОЧНО должны опсосы делать?
                                                                                                                              Не реклама но — если сервис (или банк или просто интернет сервис) рассылает смски через допустим smsc.ru — там кроме всего прочего — есть возможность «HLR запрос» и в ответе будет в в том числе imsi, берем и сравниваем.
                                                                                                                              Да — запрос платный, дешевле чем SMS у них же.
                                                                                                                              Куча разных вариантов API. Куча интеграций. Если сервису это надо и отправка СМС уже есть — то не проблема добавить такое.
                                                                                                                              Что — у других сервисов рассылок такой функции нет? Или почему то эта функция — не та чем кажется?

                                                                                                                              0
                                                                                                                              Что еще мы знаем о Дмитрии:
                                                                                                                              Паспорт начинается на 47 — значит это Ленинградская область.
                                                                                                                              Телефон начинается на 7999705хххх, и поиск по Яндексу выдаёт такую картинку, можно сделать 10 тыс запросов, и найти того самого.
                                                                                                                              Почта начинается на virtu.., а заканчивается dmitrij@mail.ru
                                                                                                                              Ник в стиме короткий, начинается на l
                                                                                                                              Ник вконтакте заканчивается на v
                                                                                                                              Подсказок довольно много, думаю можно найти Дмитрия, и посоветовать ему сменить телефон в госуслугах)
                                                                                                                                –5
                                                                                                                                К сожалению или к счастью, не мне решать, но
                                                                                                                                Все персонажи произведения являются вымышленными, любое совпадение с реальными людьми — случайно.
                                                                                                                                  +2
                                                                                                                                  Я как-то нашёл человека по аватарке, где была фотка машины (фотка не гуглилась) с первой буквой номера. Ну и для проверки знал примерный возраст и пол человека. Человек потом долго этому удивлялся). Так что в современном мире можно почти по любым отрывкам информации найти человека, даже не оладая какими-то связями в органах или еще где-то.
                                                                                                                                    0
                                                                                                                                    47 не обязательно ЛО. У меня тоже 47, только область очень даже Мурманская.
                                                                                                                                    +3
                                                                                                                                    Кто то забыл ключи в двери, и тут конечно найдется добрый человек, который в сугубо ознакомительных целях…
                                                                                                                                      +1
                                                                                                                                      Напишет статью на Хабре о том, что ключи в дверях оставлять — чревато неприятностями.
                                                                                                                                        +1
                                                                                                                                        … постучит в дверь и укажет на временную невнимательность владельцев. Проверено на практике знакомыми.
                                                                                                                                          0
                                                                                                                                          У меня всю ночь провисели ключи в замке. Соседи точно туда-сюда ходили и никто не сказал.
                                                                                                                                            0
                                                                                                                                            А я так соседу стучал, что бы ключи забрал. А другой забыл дверь закрыть, внутреннюю закрыл, наружную забыл. Сильно удивился, когда открыл одну дверь, а там я.
                                                                                                                                              0
                                                                                                                                              Я тоже как-то вижу ключи висят. Постучал, за дверью кто-то возился и сопел, но так и не открыл и голоса не подал, хотя я сказал, что ключи в двери висят.
                                                                                                                                              Через полдня шёл опять, ключи так и торчали снаружи.
                                                                                                                                              +1
                                                                                                                                              Сказать то не сказали, но слепок наверняка сделали, на всякий пожарный, а вдруг Вы их совсем потеряете..-)
                                                                                                                                          +1

                                                                                                                                          Безотносительно Йоты, к вопросу аутентификации через SMS по номеру телефона. Есть крайне простой и такой же крайне действенный способ валидации: запрос IMSI. IMSI — это как IMEI, только для конкретной SIM-карты. Можно получить по номеру телефона, сформировав отдельный специальный запрос по типу SMS. Сим-карта меняется -> меняется IMSI -> инвалидация способа восстановления аккаунта.
                                                                                                                                          Минусы:


                                                                                                                                          • если один пользователь заменил SIM-карту, то аккаунт также протухнет. Хотя владелец номера не поменялся;
                                                                                                                                          • дороже, так как сервису надо посылать два запроса оператору сотовой связи;
                                                                                                                                          • иногда не работает: часть данных может быть отфильтровано или заменено «по пути»;

                                                                                                                                          Как раз так некоторые банки получают информацию, что SIM-карта перевыпущена.

                                                                                                                                            +1

                                                                                                                                            В комментариях я вижу какие-то странные предложения добавлять к сим-картам дополнительные идентификаторы. Хотя логичнее было бы подумать, а зачем вообще привязывать аккаунты к номеру телефона, если телефон предназначен для звонков и СМС, а не подтверждения аккаунтов в Интернете. Если подумать, сейчас все больше людей пользуются мессенджерами, и им даже сим-карта с номером наверно не нужна (а также есть люди, которые в принципе особо никому не звонят) — достаточно просто позволить пользователю сгенерировать приватный/публичный ключ, класть деньги на счет этот ключа и на эти деньги выходить в Интернет. Более того, ключ можно генерировать при каждом пополнении счета, чтобы он был по сути одноразовым и не давал особых возможностей злоумышленнику.


                                                                                                                                            Смотрите, сколько тут плюсов:


                                                                                                                                            • исчезают спам-звонки и спам-СМС
                                                                                                                                            • исчезает проблема утери сим-карт, выдачи поддельных дубликатов сим-карт злоумышленникам
                                                                                                                                            • в мессенджерах гораздо лучше реализуются черные/белые списки. Например, вы можете запретить писать вам лицам не из списка контактов
                                                                                                                                            • в мессенджерах обычно нельзя подделать свой идентификатор, а звонить и отправлять СМС с поддельного номера легко
                                                                                                                                            • в мессенджерах можно реализовать end-to-end шифрование
                                                                                                                                            • сотовым операторам становится трудно торговать данными пользователей, так как пользователи анонимны
                                                                                                                                            • сотовым операторам становится трудно торговать местоположением пользователя, так как пользователи анонимны, и их идентификаторы меняются при каждом пополнении баланса
                                                                                                                                            • закон Яровой становится довольно бесполезен и собирает лишь горы зашифрованного SSL трафика. Конституционное право на тайну переписки обеспечивается за счет алгоритмов шифрования, а не за счет честного слова властей, что они будут соблюдать закон.

                                                                                                                                            Вы пытаетесь улучшить морально устаревшую технологию и даже не видите, что она устарела и приносит больше вреда, чем пользы.


                                                                                                                                            Если же не заглядывать так далеко в будущее, а мыслить сегодняшним днем, то вот что можно исправить:


                                                                                                                                            • показ паспортных данных в личном кабинете. Непонятно, зачем это делать, пользователь свои данные и так знает, это делают, чтобы было что собирать хакерам? зачем на Госуслугах показывать человеку номер его же паспорта?
                                                                                                                                            • привязка аккаунтов к телефону, от которой надо избавляться
                                                                                                                                            • вход на Госуслуги, имея лишь телефон
                                                                                                                                            • излишний сбор данных. Чем меньше данных собирается, тем меньше ущерб от утечки. Например, зачем держать в личном кабинете Почты свои паспортные данные, если можно прости прийти и показать паспорт лично?
                                                                                                                                              +1

                                                                                                                                              Проблема с мессенжерами в том, что они все не унифицированы. Огромное количество различных платформ, каждый со своими интерфейсами, форматом идентификаторов, правилами и возможностями. Большая часть таких платформ в принципе проприетарна и никак не контролируется ни сообществом, ни пользователем. В общем так себе point of trust, пока какой-нибудь ISOC не возьмёт стандартизацию в руки.

                                                                                                                                                0
                                                                                                                                                А где привязка к конкретному мессенджеру? Один мессенджер — один ключ. Потерял ключ (сдох винт, допустим) от конкретного мессенждера — ССЗБ. Вроде централизованности не предлагается…
                                                                                                                                                +1
                                                                                                                                                Предложите безопасную, простую и дешевую альтернативу, работающую одинаково хорошо и для специалистов по «сетевой безопасности» и для 80-ти летних бабушек и для 7-ми летних детей.
                                                                                                                                                  0
                                                                                                                                                  OTP(HOTP/TOTP/скретч-карты банков/списки одноразовых паролей Gmail)?

                                                                                                                                                  Реализуется на различном железе (десктоп, смартфон, USB-ключ), а на уровне софта не (не)безопаснее и не проще/сложнее чем email, и из цепочки тех, кто может повлиять на безопасность, изымается 1) оператор сотовой связи 2) сама телефонная инфраструктура, с такими огрехами как SS7.
                                                                                                                                                    +1

                                                                                                                                                    Электронный ключ. Заходите в соцсеть, вставляете ключ в компьютер, нажимаете кнопку и оказываетесь залогинены. Плюсы:


                                                                                                                                                    • не надо придумывать и запоминать пароли, не надо записывать их на листочек и сохранять в браузер, откуда их легко стырит вирус (но если хочется, то можно добавить пароль)
                                                                                                                                                    • генерируемый ключ в разы сложнее любого пароля, который вы способны запомнить
                                                                                                                                                    • вставить ключ и нажать кнопку может даже дурак, особенно если сайт покажет ему анимированную картинку с описанием процесса. А попробуйте объяснить ду типичному пользователю, как сгенерировать и запомнить длинные пароли, уникальные для каждого сайта.
                                                                                                                                                    • не надо привязывать и подтверждать телефон, но если очень хочется, то можно
                                                                                                                                                    • нельзя сфишить ключ, нельзя украсть ключ кейлоггером
                                                                                                                                                    • отобрать ключ можно только физически, и пользователь об этом узнает, в отличие от тайной кражи пароля
                                                                                                                                                    • ключ — привычная метафора, мы каждый день носим ключи от квартиры или машины.
                                                                                                                                                    • ключ можно временно доверить другому человеку
                                                                                                                                                    • аккаунт не привязан к паспортным данным и правительство их не получает
                                                                                                                                                    • экономятся деньги на отправке СМС, а ваш сотовый оператор не знает, что вы пользователь данного сайта

                                                                                                                                                    Есть наверно и минусы:


                                                                                                                                                    • не очевидная процедура бекапа ключа или создания копии. Надеюсь, что как-нибудь ее решат.
                                                                                                                                                    • непонятно, что делать если ключ все же украли

                                                                                                                                                    Скажите, зачем вам пароли или набивание цифр из приложения-генератора кодов, если у вас может быть просто один ключ?

                                                                                                                                                      +2
                                                                                                                                                      аккаунт не привязан к паспортным данным и правительство их не получает

                                                                                                                                                      Выдача желаемого за действительное. Правительства и спецслужбы не позволят крупному интернет ресурсу иметь анонимные учётные записи.
                                                                                                                                                        –1

                                                                                                                                                        Правительства меняются. Нынешнее не позволит, а другое разведет руками. Также, вы упоминаете только Россию, а есть и другие страны. Это в России все будет по паспорту и номеру телефона, со спам-звонками и постоянными сливами данных, а в других странах будут наслаждаться более надежными и безопасными методами авторизации и более продвинутыми способами обмена информацией.

                                                                                                                                                    0
                                                                                                                                                    А как же связь номера телефона с кучей личный данных о пользователе? У сервиса возможно выведать номер, у опсоса — всё остальное. Имхо, Ваш способ интересен только пользователям, и только при наличии интерфейса (в общем смысле), с которым разберётся любой чайник. Либо надо массово выдавать и регистрировать ЭЦП, а с ними сейчас всё ненамного лучше.
                                                                                                                                                      –2
                                                                                                                                                      Не нужно ничего выдумывать. Эммигрируйте и законы РФ об обязательном вводе везде мобильного номера не будут Вас касаться. Этот закон с 1 января 2019.
                                                                                                                                                        +2
                                                                                                                                                        в законе так и написано «везде»? можно подробностей? вы так много этого сообщения в ветке оставили, вас не затруднит ссылку на закон дать?
                                                                                                                                                      0
                                                                                                                                                      Мне видится простое решение, общая база данных по всем номерам с датами их перерегистрации. То есть сервис перед отправкой смс проверяет когда менялся владелец номера, если дата смены владельца свежее даты привязки номера, то номер отвязывается от аккаунта. Не надо никаких уникальных номеров симок и прочих запросов (это для банков актуально). Как проверка по вину автомобилей на сайте ГИБДД, с 1.01.2017 по 22.12.2017 зарегистрирован, с 23.12.2017 по 1.05.2018 в отстойнике, с 2.05.2018 по настоящее время зарегистрирован.
                                                                                                                                                      Конечно это надо делать базу, но в учитывая всякие пакеты, онлайн кассы и прочее, это уже не такие и большие затраты, зато решают реальную проблему.
                                                                                                                                                        +2
                                                                                                                                                        Боюсь, что это классический пример, когда предложенный способ решения проблемы создаёт более серьёзную проблему, чем была изначально. Как минимум, спамеры будут крайне рады получить такую базу. И некоторый анализ данных из такой-то базы позволит искать очень интересные номера для взломов, хотел бы я получить ее для исследований. С другой стороны, если делать доступ к ней сложным — куча мерзких контор будет говорить, что безопасности в их сервисах нет, так как доступ к базам закрыт.
                                                                                                                                                          0
                                                                                                                                                          Ну сделать наоборот, сервис отправляет номер, база возвращает дату перерегистрации. Так уже сложнее перебирать номера будет. Или выдавать ответ не датой, а просто позже\раньше.
                                                                                                                                                          Согласен, вариант не идеален, но подумать как сделать его безопасным и удобным можно.
                                                                                                                                                        0
                                                                                                                                                        Короче, имхо естественно, проблему в общем решил бы уникальный идентификатор «личности» в некой центральной базе, не связанный с тел.номерами и другими «недолго живущими» идентификаторами.

                                                                                                                                                        Но который, для удобства можно привязать по желанию к тому же тел.номеру, для упрощения идентификации по тел.номеру.

                                                                                                                                                        Все остальные известные мне варианты — костыли, решающие проблему частично и даже не саму проблему, а некоторые ее последствия, а как известно, практичнее устранить причину.

                                                                                                                                                        Но некоторые принципиально против такого решения (возможно вполне обосновано), т.к. такое решение может вылезти боком в другом месте, где возможно этот самый уникальный идентификатор личности использовать против самой личности.

                                                                                                                                                        Получается, чтобы решить данную проблему, необходимо разработать и внедрить такую «систему», которая не позволит применять «персональные данные» во вред самой «персоне».

                                                                                                                                                        Да, это намного сложнее, чем хранить пол-сотни 20-ти значных паролей в человеческой памяти…
                                                                                                                                                        А что делать? -)

                                                                                                                                                        Есть идеи?
                                                                                                                                                          +2
                                                                                                                                                          Да, это намного сложнее, чем хранить пол-сотни 20-ти значных паролей в человеческой памяти…

                                                                                                                                                          Поэтому есть менеджеры паролей. И поэтому связка логин/пароль без привязки к левому говну самая надёжная. Но сервисам нужны наши персональные данные.
                                                                                                                                                          0
                                                                                                                                                          Не факт, что владелец номера жив…

                                                                                                                                                          Больше не вижу причины не пользоваться номером, который везде привязан…
                                                                                                                                                            0
                                                                                                                                                            Я даже не могу представить что бы было, если бы данная информация попала к злоумышленникам или людям которые знают больше меня что делать с данной информацией.

                                                                                                                                                            Я бы не сказал что ему сказочно повезло. Отобрали у человека почту, как ему ее теперь восстановить?
                                                                                                                                                              0
                                                                                                                                                              Я написал бывшему обладателю номера, попросил любезно отвязать все аккаунты которые он помнит, так же сказал что в случае необходимости могу предоставить ему коды восстановлений которые придут на мой номер телефона.

                                                                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                            Самое читаемое