Information Security
Cellular communication
16 September

(Не актуально, починили) Заметка. Как Теле2 делится доступом к личному кабинету новых абонентов

Если вы новый абонент Теле2, то есть вероятность того, что сотовый оператор без вашего согласия не только поделился вашими персональными данными с кем-то еще, но и передал возможность управлять вашим «личным кабинетом» третьим лицам.

Не нужно никаких хакерских атак, сложных взломов и т.п. — все несколько банальнее.


Источник: кадр из рекламы Теле2 и кот c Я.Плакал

Постараюсь описать несколько подробнее, чтобы (возможно) не упустить важные детали.
Год-два назад у меня было 2 SIM-карты Теле2: Воронеж и Москва, причем воронежская карта была привязана к московскому номеру через «Личный кабинет». Стоит отметить, что привязка номера в мобильном приложении Android работала поначалу очень плохо — при очередном обновлении приложения привязанные номера пропадали, но потом вроде «починили».

Спустя некоторое время было решено отказаться от использования воронежского номера — просто прекратил платить (там осталась какая-то небольшая сумма).

Московский номер Теле2 у меня резервный и пользуюсь я им нечасто, тем более в приложение заходить перестал.

Тут как-то ради интереса зашел в «Личный кабинет» и смотрю, на воронежском номере появились какие-то услуги — платный интернет за 8 рублей в день и денег на счету 60 рублей. Ну думаю: «Что ж такое творят?», — и быстрее отключил данную опцию. Ради любопытства заказал подробный отчет по номеру и по нему уже понял, что номер передали другом человеку, а вот «отвязать» в «Личном кабинете» Теле2 как-то забыл. По факту мне также стала доступна информация о новом абоненте: ФИО, адрес проживания (адрес доставки корреспонденции) и естественно номер телефона.

Связался со службой поддержки оператора — обрисовал ситуацию и попросил исправить. Радостный оператор службы поддержки уведомил, что решат вопрос через 3 дня, перечислил бонус 100 рублей (видимо за найденный баг :) ) и оставил номер тикета. Прошел месяц — ничего не исправлено и никто повторно со мной не связывался.

Как видно, повторить процедуру захвата управления чужим номером Теле2 несложно, главное уметь ждать :). Так что не удивляйтесь, если ваш телефон начал активно делиться гигабайтами с незнакомыми номерами без вашего ведома.

PS В 18:50 MSK пришла SMS-ка «Доступ к личному кабинету для номера 7952ххххххх прекращен». Хабр работает (до этого целый месяц ждал), но вот досада — доступ из приложения к чужому кабинету также продолжает работать, несмотря на SMS :) Доступа через браузер не стало.

PPS Спустя пару недель после выхода статьи доступ через приложение закрыли.

+74
35.9k 37
Comments 77