Как стать автором
Обновить

Комментарии 77

Вспомнил довольно забавную историю про передачу номеров. На сайте Теле2 можно выбрать себе понравившийся номер из достаточно большого списка, я решил посмотреть, сколько там номеров, которые уже отобрали у кого-то. Много кликов мышкой для загрузки списка побольше, немного регулярных выражений — теперь у меня есть около 5 тысяч (количество доступных больше, кликать стало лень) номеров, каждый из которых можно получить в течение часа. Загружаю этот список в контакты, импортирую в Viber, нахожу 200 аккаунтов. Выбираю пару десятков аккаунтов из этого списка, использую эти же номера в ВК, там аккаунты тоже есть. Потом немного Сбербанка, там тоже есть живые аккаунты, привязанные к этим номерам.

Есть два интересных результата:
1) Для доступа к достаточно большому количеству аккаунтов и денег (?) достаточно уметь копировать-вставлять номера, плюс надо потратить 200 рублей в ближайшем офисе Теле2.
2) Довольно много из этих номеров уже недоступны для покупки, что заставляет думать, что у достаточно большого количества людей аккаунты уже привязаны к номерам, которыми пользуются другие.

Пользуюсь случаем: наверняка эту статью будут читать люди из Теле2, поэтому напишите мне, если вы хотите обсудить несколько уязвимостей (часть довольно серьёзных, доступ к аккаунтам пользователей в других сервисах через Теле2). Как-то не хочется общаться с бесполезной поддержкой или isecure@, которые не отвечали больше полугода, а потом написали и спросили, что я нашёл.
плюс надо потратить 200 рублей в ближайшем офисе Теле
И предъявить паспорт, что уже несколько отбивает охоту атаковать чужой мобильный банк. Хотя, если озаботиться хорошей подделкой или нанять для этой цели подставное лицо…
Дать бомжу Васе бутылку и все?
Дать продавцу еще 200 и он сам найдет.
В связи с тем, что у нас «победили» нелегальную продажу сим-карт… можно просто погулять около вокзалов и «бесплатные симкарты, бесплатные симкарты», «а дайте штучек десять». Ну а далее спокойно сидеть и проверять, нет-ли ничего интересного, привязанного к тем номерам. И никаких паспортов и прочего.
Затрат — покататься на метро и потратить много времени. Ну и 100р кинуть на «интересную» симку через какой-нибудь аппарат с 10% комиссией, чтобы не светить личность.
Анонимное пополнение(через терминалы) вроде бы тоже запретили.
Куча терминалов об этом даже не знает и продолжает предлагать всё пополнить с комиссией разного уровня наглости.
Кстати, вспомнил про свой МТСовский номер, который был куплен в их салоне по паспорту и всей прочей законности. К номеру аккаунты «Вконтакте» и «Авито» — в подарок, вместе с роботом-дозвонщиком от какого-то провайдера, которому предыдущий собственник задолжал денег.
darknet никто не отменял, там вам за смешные 500 р купят симку на любые фио

Теле2 тут странно винить. Да и что они могут сделать в данной ситуации? Не продавать бесхозные номера? Можно лишь посетовать на безаларность пользователей. Сами виноваты.

Было бы логично сменить пароль для доступа в ЛК, отвязать номер от текущего кабинета, уведомить предыдущего абонента. В общем сделать хоть что-то.

Вы вообще читали комментарий, на который я отвечала?! Где там слова "личный кабинет"? Речь о привязке номера к банку, к аккаунту ВК и мессенджерам. Тут оператор-то что может поделать?!

Отнюдь. Операторы не сообщают о движении по номерам как «бывшим» абонентам, так и сервисам. Создать какой нибудь внутренний ресурс и обмениваться информацией хотя бы с банками, можно было бы уже давно.
Вы правы только в том, что один Теле2 тут точно не причем, тут целиком вся система хромает. И периодические новости о мошенниках ни каким образом не приближают проблему к её решению.
Банкам сообщают, неоднократно проверено. По крайней мере Мегафон и по крайней мере Сбербанку

На МТСе тоже при смене симки отваливались сбер и альфа

Сейчас уже да, а несколько лет назад это ещё плохо работало.

Сбер не так давно, а альфа ещё году в 2010

НЛО прилетело и опубликовало эту надпись здесь

Может они могли бы выработать такую инструкцию:


  • как только номер становится "бесхозным", они автоматически отправляют уведомление в топ30 банков, сервисов и пр.
    Тогда банк, увидев такое уведомление, сравнивает со своей базой и если находит совпадение — уведомляет клиента, что он не отвязал свой номер.
Простите, а если номер стал бесхозным, куда банк будет уведомлять клиента? Насколько \ знаю, современные банки как раз завязаны на ваш номер по-максимуму (что тоже не есть хорошо).
Да и операторы вряд ли захотят брать на себя ответственность за оповещение ТОП-сервисов/банков (по крайней мере, бесплатно).
НЛО прилетело и опубликовало эту надпись здесь
Я точно так же в Ростелекоме интернет отключил.
Так они мне потом в ЛК показали все услуги нового абонента и даже лицензионный код для активации касперыча, который тот абонент у них купил.

Саппорт тупо в отказ шел и даже с трех попыток завести багу не удалось через них, забил (я у них все уже отключил, и подключать не планирую).
Ага, RT-шный так называемый «церт» мышей не ловит, на письма не отвечает, проблемы не фиксит. А все почему? Потому что и ответственности не несет.
Теле2 и ростелеком это одно и то же.
Не нужно так всё обобщать. Где-то на верху, совсем высоко, владелец один и тот же. А вот по ниже уже ответственность несут совсем разные люди которых могут независимо иметь.
Я и наказал их рублем — ушел в МГТС :) Эти пока в больших косяках не замечены.
ушел в МГТС

Самонаказание какое-то…
Я так и делал. 600 руб в плюсе. В личном кабинете болталась услуга, которую отключить самостоятельно не получалось. Если её удалить, то она как-бы пропадает но после повторного входа появляется вновь. Та же проблема, походу, была и в АРМ оператора, но никто из операторов так и не внял просьбе «перевойти и посмотреть». Пока не перешёл к оценочным суждениям о дегенеративных умственных способностях сотрудников (без ненормативной лексики), так проблему решить и не могли, но это уже в переписке.
Это ещё что. Есть у меня один очень старый e-mail типа [фамилия]@mail.ru. Фамилия без всяких цифр и инициалов, относительно редкая. Так вот, мне постоянно приходят выписки от банков, брокерских контор, МФУ на разных оленей-однофамильцев. Т.е. люди при регистрации пишут первый попавшийся e-mail, а потом, видимо, безуспешно пытаются его зарегистрировать.
Из последних интересных кейсов это были aliexpress (я зашел и заблокировал этот аккаунт) и электронный ОСАГО (позвонил по указаному номеру, обещали удалить из базы). Также не без приключений и при помощи службы поддержки был удален Apple ID.
Что касается банков и других ФУ, то все попытки договориться с их службой поддержки приводили к просьбе прислать скан моего паспорта (и были посланы, само собой).

Я это к чему пишу. Налицо полное всеобщее пренебрежение к правилу «проверяй e-mail, который тебе предоставил клиент на валидность». Даже (кто бы мог подумать) Apple.
Встречал две похожие проблемы:
1) Одна компания при регистрации не проверяла почту, поэтому можно было регистрироваться с любой незанятой. При этом они по адресу почты подгружали документы, где эта почта использовались как контактная. Можно было собрать очень неплохую базу с паспортными данными и другими ценными вещами.
2) Другая компания пыталась честно проверять почту, но они отправляли ссылку, которая просто подтверждает адрес, указанный в личном кабинете. Указываешь свою почту, получаешь ссылку, меняешь адрес в личном кабинете, проходишь по ссылке, подтверждаешь новую почту. При выборе удачной почты получаешь доступ к аккаунту пользователя на остальных сайтах системы.
НЛО прилетело и опубликовало эту надпись здесь
Ну а чего вы хотели от оператора для гастарбайтеров?
Мне кажется, что таким «обманом» занимается не только Теле2.
Установил как-то дома спутниковую антенну (дом довольно старый и на тот момент во всем доме не был проведен кабель ни для интернета, ни для телевизора, а комнатная антенна ловила два с фигом канала). И опять же по «счастливому» стечению обстоятельств при покупке телевизора дали в «подарок» пакет НТВ-плюс. На всем протяжении сотрудничества с ними они меняли тарифный план БЕЗ уведомления пользователя ни по почте, ни в личном кабинете: с 59 рублей в месяц стоимость за 1,5 года выросла до 289 рублей! Помимо этого они снимали деньги со счета за какие-то левые услуги. В какой-то момент спутник перестал показывать и вызвав мастера НТВ-плюс, вместо бесплатного осмотра и ремонта (как у того же ростелекома), они сказали, что оборудование устарело и конечно же его нужно срочно менять за 8к!!! Тут то мы с ними и распрощались. А чтобы завершить с ними договор, нужно было отправить им на ПОЧТУ (не электронную, а прости господи бумажную) заявление (на почту, Карл) с письменным заявлением на расторжение договора, а также карту абонента! Иначе штраф 550р!!!

Я подключался к НТВ+ раньше вас, в то время наш тарифный план стоил 29 рублей в месяц. Сейчас этот ТП стоит 149 рублей, то есть подорожал всего в 6 раз. Браво, НТВ+!

Сейчас у всех опсосов тарифы на 100500 гигабайт в месяц за 500р-600р. Теле2 держится, со своими 8ГБ за 300. А мне нужно 2 ГБ за 100 и, уверен, не только мне. По факту я плачу за то, чем не пользуюсь.

О, проверил, у них теперь можно 3 ГБ за 200р и 1ГБ за 120р купить. Отлично.

А мне нужно 2 ГБ за 100 и, уверен, не только мне.

И что? А мне нужно за 50 рублей 100 Гбайт. Но законы рынка никто не отменял. Опсосам просто не выгодно поддерживать такие тарифы (читай невыгодно = они на вас теряют деньги, а не зарабатывают хотя бы 1 рубль).
В среднем, оператору нужно брать с абонента
как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать. Дешевле — это уже получается "связь за счёт оператора".
Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.

И что? А мне нужно за 50 рублей 100 Гбайт.

Не надо передергивать. Я хочу меньше за меньшую стоимость.


В среднем, оператору нужно брать с абонента как минимум примерноо 250-300 рублей в месяц, чтобы хоть какую-то копейку зарабатывать.

В среднем пускай зарабатывают, конкретно я тут причем? Можно пруф с расчетами? А то я могу написать, что опсосу достаточно 50р в месяц в среднем с абонента.


Дешевле — это уже получается "связь за счёт оператора".

Пруфы, пожалуйста.


Именно поэтому, вы нигде и не найдете 2гб за 100 рублей.

Уже нашел у того же Теле2 3 ГБ за 200р и 1ГБ за 120р. Что сильно отличается от 500р-600р. Эти тарифы введены недавно, что говорит о том, что все ваши умозаключения далеки от реальности.

FYI Если регион Москва: МГТС Смарт для своих 8гб/500 мин/500смс за 250 рублей (раньше было 200 рублей за 5/500/500,). Получить данный тариф просто — переходите к ним со своим номером от другого оператора.

Спасибо за информацию, буду иметь в виду.

Пруфов не будет, это инсайдерская информация, для внутреннего использования. У каждого оператора это число своё.
Но вы можете проверить очень просто: подключите тот же тариф, который вам советуют выше. Вот вам 200 рублей в месяц. Это ниже планки, через 2-3 месяца вам начнут подключаться условно бесплатные подписки, чтобы донабрать до 300р. И это не закончится, пока у вас такой дешёвый тариф. Вот вам и будет пруф.

Я уже полтора года на пчелайне сижу на обычном тарифе без пакета ненужных мне минут и т.д. Расходов в месяц на звонки 50р-100р, дату не использую, у них тарифы совсем безумные. Ничего ко мне не подключается. Звонят только регулярно и пытаются впарить ненужное. Так что, не работает ваша теория. Проверенной информацией по этому вопросу могут обладать только топы, а вашему инсайдеру просто ездят по ушам, пытаясь его заставить еще чем-нибудь клиентов осчастливить.


Со следующего месяца в еле2, который для интернета использую, тоже с 320р за 7ГБ переключусь на 1ГБ за 120р. И есть подозрение у меня, что никто мне ничего левого подключать не будет.


Мне вообще за 18 лет пользования сотовой связью у разных опсосов в разных городах никто никогда никаких левых подписок не подключал.

Очень очень давно, когда трава была зеленее, а… ну неважно. Смысл в том что в лохматых годах в достаточной мере распространены были тарифы без абонки. Плюс к этому билайн предложил акционный, для отдельных категорий абонентов тариф «Силовик». Милиция, военные и тп. Последние восемь лет примерно 2 раза в год звонит девушка и предлагает «очень выгодный тариф всего за ххх рублей в месяц». Оператор с меня имеет примерно 1000 в год, ну 1500 край если Новый год удался. И никаких подписок не возникает. СМС с предложением оных да, но не подключение.
И вишенка. Тариф не для европейской части России. То есть с региональной наценкой. Иначе было бы еще дешевле. Интернета правда нет. Совсем. 0 мб.
Удивительно, что только в 6 раз!

Хм. У знакомых Skyway уже лет 7 работает. Нафига менять?

Не так давно нужно было связаться с человеком, с которым общался несколько лет назад в ОК.
Зашел на ОК, пароль, естественно, забыл, выбрал восстановить, ввел почту, которая у меня с незапамятных времен, пришло сообщение, я сбросил пароль и что я вижу? Страничка молодой черной девушки из какой-то африканской страны, в данных стоит что студентка, живет в Москве, по русски не разговаривает. И что странно — в профиле нет привязанного адреса почты, только телефон! Никакие уведомления на мою почту не приходили. Почему ОК дал мне доступ к этой учетке — непонятно.
Прошел месяц — ничего не исправлено и никто повторно со мной не связывался.

Не стоит надеяться на столь быструю реакцию. Современные операторы это неповоротливые динозавры. Такие процессы могут идти многие месяцы, особенно, если требуются какие-то существенные доработки.
Диназавры как известно вымерли надеюсь опсосов ждет таже участь
То есть вы надеетесь, что у вас не будет сотовой связи?
то есть я надеюсь что их заменят более расторопные и клиентоориентированные
а вы научитись понимать то что написано а не набор букв
Маловероятно. Сотовые операторы это крупный бизнес, а крупный он весь такой.
А мелкий бизнес не будет и не сможет вам обеспечивать связь в Норильск и тому подобное,
да даже в мелкие деревни не за полярным кругом.
спасибо буду знать

Раз пошла такая пьянка, давайте расскажу об ошибке, которая 3 года назад, надеюсь, сейчас закрыли, позволяла наоборот нагреть теле2. Надо было вывести 15 тыс с карты, и единственный способ был на моб оператора. Вывел на свой номер теле2. Оттуда можно было уже на карту, но то ли процент был большой, то ли лимиты, короче, нашел что без процента можно вывести (или это называлось ошибочный платеж), на банк счёт, но надо идти в офис, писать заявление, ждать дня 4. Сходил, написал, через дня 4 на рас. счёт приходят 15 тыс, но при этом баланс на номере тоже 15. Ладно думаю, не обновилу инфу, подожду. Прошло 2 раб дня, баланс телефона по прежнему 15. Стало интересно: онлайн вывел ещё раз 15 тыс на карту, деньги пришли. Итого, из 15 тыс у меня получилось 30. Через день-два после второго вывода звонит девушка, говорит вы получили 15 тыс на счёт? Я вижу вы и второй раз выввели, верните пожалуйста 15. На вопрос как так, и что это потенциальная схема для мошенника, ответила что мы ждём пока деньги точно не придут на счёт, бывают ошибаются в реквизитах. А так да, типа вы же честный, верните. Я конечно вернул. Но уверен, что кто-то схему с подставным лицом провернул, и удалил свои вложения.

НЛО прилетело и опубликовало эту надпись здесь
Со мной случалась уже подобная ситуация, но только с другим оператором.
Так что большая проблема привязка номера телефона куда либо.
habr.com/ru/post/458932
Мне другое интересно: сейчас наше правительство носится с идеей электронного паспорта для граждан, на который должны быть закреплены в одной связке все данные человека от индивидуальной цифровой подписи до емейлов и телефонов (!). А если подобный баг, на сколько я понял весьма распространенный, останется и телефонным номером «поделятся» при таких раскладах? Там же, по идее, может следом потянуться и все остальная персональная информация.
НЛО прилетело и опубликовало эту надпись здесь
Процитирую свой недавний комментарий на тему приватности и безопасности:
А в чем проблема? Ну пошумят лохи в интернетах, их никто не послушает, все затихнут.

Имхо, в России отсутствует спрос на приватность и защиту от своих данных. Можно за 600-1000 рублей купить паспортные данные и данные об истории звонков клиента мобильного оператора? Всем наплевать, нет никаких действий. У банков текли данные о балансах и истории операций? Опять же, всем наплевать, лучше обсуждать тухлятину в магазине и крыжовник. Миллионы аккаунтов ВК можно было взломать, просто прочитав новости на английском и выполнив действия оттуда? Результат известный. Телемедицинские системы дырявые, как решето? Заткнись, тут интересная скидка появилась.

Пока компании и конкретные сотрудники не будут реально наказываться за проблемы с приватностью, ее у нас не будет. Можно только спорить в интернетах и разочаровываться, что я сейчас и делаю.

Вышла эта статья, собрала кучу плюсов и обсуждений. Но при этом я почти уверен, что никто не написал в Теле2 вопрос «Какого хрена вы так плохо работаете?» Даже самого тупого кодера не лишат хотя бы премии, ведь фичи пилятся, юридических проблем нет, все хорошо. В первом комментарии под статьей я написал о том, что есть серьёзная уязвимость, предложил связаться со мной. За два рабочих дня никто это не сделал, зачем?

Со мной после публикации заметки вышли на связь (сказав что из Теле2) и уточнили некоторые технические детали.

Мне пока никто никуда не написал, к сожалению. Видимо, тоже придется публиковать статьи, чтобы Теле2 начал нормально работать :(
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Про наказание шестеренок: я думаю, что в текущих реалиях у нас есть два пути — либо все остаётся как есть, данные текут, системы падают, айтишники получают премии, либо правительство потребует реальной безопасной цифровизации (ненавижу это словно, но все же) важных сфер, признает их стратегическими, тогда айтишники будут нести реальную ответственность, вплоть до уголовной, за уязвимости и утечки. Я весьма этого опасаюсь, но боюсь, что это один из немногих способов заставить разрабатывать безопасные системы, а не впиливать фичу ради премии и уходить в 17:55, говоря всем, что проблем нет.

Про Bug Bounty: более того, кажется, куча компаний не понимает, что они пытаются заигрывать не с котёнком без когтей, а с хакером, у которого есть выбор. Условный ВК реально считает, что я понесу следующую серьёзную уязвимость к ним, а не куда-то ещё. Я-то никуда не понесу, но и им не отправлю, а вот другой хакер, который прочитал о том, что на его сообщение могут отреагировать настолько неоднозначно, продаст ее на чёрном рынке, чтобы получить реальные деньги, вместо возможных «up to N USD».
НЛО прилетело и опубликовало эту надпись здесь
Есть такое, недавно столкнулся со схожей проблемой.
Как видно, повторить процедуру захвата управления чужим номером Теле2 несложно, главное уметь ждать :). Так что не удивляйтесь, если ваш телефон начал активно делиться гигабайтами с незнакомыми номерами без вашего ведома.


Банальная ошибка.
Будто бы вы в вашей работе их не допускаете?

А уж раздули, раздули. Желтизна в заголовке — а по сути ничего.

Что значит «захватить номер просто — нужно только уметь ждать»?

Чтобы захватить случайный номер случайного человека?
НЛО прилетело и опубликовало эту надпись здесь
Оператору было дано время на устранение «ошибки» — месяц более чем достаточно на мой взгляд. После статьи доступ по веб перекрыли в течение 6 часов. Звезды сошлись или просто кто-то получил подсрачник? Заметка лишь показывает отношение Теле2 к данным и деньгам абонентов.

Да и карма у вас что-то не очень, так что остальное комментировать думаю не стоит — зачем кормить тролля?

НЛО прилетело и опубликовало эту надпись здесь

Переходил со своим номером от другого оператора, значит не в группе риска!)

немного не в тему, но мб кто подскажет,
Теле2 в Мск, после каждого пополнения баланса на экране телефоне (iphone 8+) вылезает даже на заблоченном экране предложение подписаться на гороскопы или типа того, за жалкие 7р/день.

Как-то от этой замечательной возможности можно отключиться? Спасибо.
Проблема ведь не в том, что остался доступ к ЛК! Дело в том, что система Теле2, очевидно, позволяет привязать тот же самый номер к другой симке другого клиента (без деактивации первой симки) — что намного хуже.
добавлю баг по доступу в ЛК от МегаФона.
Был у меня красивый, но не сильно нужный номер (четыре нуля и все дела...). Время от времени я его пополнял, иногда забывал и приходилось проводить разблокировку в офисах обслуживания. Пароль от ЛК был установлен. Однажды, зайдя в ЛК для проверки, обнаружил там чужие ФИО (и похоже, что регион тоже сменился). Так уже 2 года. Вот только что проверил — до сих пор пускает.
А через ЛК, например, можно заблокировать номер…
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории