CardReview

Про то, что в РКН криво обновление на ТСПУ накатили уже все в курсе. А я обо всем узнал чуть позже, потому что для меня этот сбой случился на пробежке за прослушиванием аудиокниги: я перезагрузил телефон и прогадил три попытки ввода SIM-PIN и стало нужно получить PUK у оператора. Wi-Fi тоже не работал и это навело меня на мысль провести натурный ЭКСПЕРИМЕНТ, про который уже давно думал.
—
Я потерял телефон под чехлом которого карта, телефон защищен биометрией и так просто в него не войдешь, но SIMку через минуту можно воткнуть в другой телефон и получать коды подтверждений для оплаты или перевода денег с прилагаемой к телефону карты. Но я же хитрожопый и у меня симка защищена пином, поэтому после трех попыток ввода она блокируется и мошеннику нужен пук-код от оператора. Что нужно знать о человеке, чтобы его получить?
И да, логин от госуслуг это тот же номер телефона и процедура восстановления пароля завязана на SMS
—
Краткий ответ для МТС: только ФИО!!! Все блять!!! 🤬🤬🤬🤬🤬🤬

Подробнее:
Сначала решил позвонить с телефона приятеля в колл-центр МТС. Но там робот сообщил, что если не устраивают стандартные функции автоинформатора, то сейчас все вопросы решаются только через чат приложения Мой МТС. К удивлению моего приятеля в его приложении функция чата просто отсутствовала, хотя раньше была. Дальше ему надо было ехать за детьми и он выбыл из пьесы.
Второй акт я начал по возвращении с работы супруги уже с ее телефона. Для чистоты эксперимента надо отметить, что мы с ней конечно однофамильцы и прописаны по одному адресу и МТС про это теоретически знает, но не факт что использует и даже если это так, то факт родственных связей не означает автоматической делегации супруге моих имущественных прав и тем более телефонных тайн 😜Звонок с ее номера в коллцентр имел тот же эффект - там все еще никто не работал. В приложении Мой МТС функция чата была, но не кликалась. Обновил приложение и попал в чат. Написал, что надо получить пук для другого номера, робот ответил, что он обслуживает только данный номер, но может позвать человека. Человек появился через полчаса, спросил ФИО владельца номера и через минуту выдал пук, попросив оценить работу. Я спросил на каком основании в МТС решили, что имеют дело с владельцем симкарты к которой только что отдали доступ? Изрядно подумав оператор потерла всю свою предыдущую переписку, включая пук, который я успел ввести, но не успел записать и сообщила что таковы процедуры компании МТС и что явившись в салон я могу установить еще и кодовое слово (скрины будут в камменте).

Пару месяцев назад у меня была история, что я также просирал пин и тогда я восстанавливал его с приложения, на втором телефоне, зарегистрированном на меня же - тогда с меня спросили 4 цифры паспорта. Тогда я и задумал провести эксперимент и хотел проверить будет ли сложнее процедура, если номер точно не владельца. Оказалось она даже проще с точки зрения объема доступа к персоданным атакуемого клиента (ну или там рандомайзер рекомендует что спросить про владельца и выпадает то паспорт то фио)

Отака́ хуйня, маля́та

Банки и государство если не все, то почти все в жизни человека завязали на телефонный номер не оставив гражданам никакого выбора и никакой возможности управлять своими рисками, кроме как принципиально отказаться от пользования услугами государства и банков, что вряд ли практически осуществимо для всех кроме Агафьи Лыковой. При этом похоже регулированию процедур безопасности в сотовых операторах внимания не уделяет никто. Операторы свои процедуры идентификации клиентов и восстановления доступов разрабатывали много лет назад в парадигме, что они оператор связи, а не удостоверяющий центр и максимум, чем они рискуют это нарушение тайны переписки. И спустя годы никто не выставляет к ним новых требований, учитывающих что благодаря их дырам люди могут лишаться миллионов деньгами и теперь уже имуществом, и не контролирует на предмет соблюдения таких стандартов
🤬

UPD проверено: в коллцентре Теле2 достаточно назвать ФИО и номер паспорта

www.group-telegram.com/ye/cardreview.com/3037

2.6K viewsedited  Jan 14 at 16:34

Про то, что в РКН криво обновление на ТСПУ накатили уже все в курсе. А я обо всем узнал чуть позже, потому что для меня этот сбой случился на пробежке за прослушиванием аудиокниги: я перезагрузил телефон и прогадил три попытки ввода SIM-PIN и стало нужно получить PUK у оператора. Wi-Fi тоже не работал и это навело меня на мысль провести натурный ЭКСПЕРИМЕНТ, про который уже давно думал.
—
Я потерял телефон под чехлом которого карта, телефон защищен биометрией и так просто в него не войдешь, но SIMку через минуту можно воткнуть в другой телефон и получать коды подтверждений для оплаты или перевода денег с прилагаемой к телефону карты. Но я же хитрожопый и у меня симка защищена пином, поэтому после трех попыток ввода она блокируется и мошеннику нужен пук-код от оператора. Что нужно знать о человеке, чтобы его получить?
И да, логин от госуслуг это тот же номер телефона и процедура восстановления пароля завязана на SMS
—
Краткий ответ для МТС: только ФИО!!! Все блять!!! 🤬🤬🤬🤬🤬🤬

Подробнее:
Сначала решил позвонить с телефона приятеля в колл-центр МТС. Но там робот сообщил, что если не устраивают стандартные функции автоинформатора, то сейчас все вопросы решаются только через чат приложения Мой МТС. К удивлению моего приятеля в его приложении функция чата просто отсутствовала, хотя раньше была. Дальше ему надо было ехать за детьми и он выбыл из пьесы.
Второй акт я начал по возвращении с работы супруги уже с ее телефона. Для чистоты эксперимента надо отметить, что мы с ней конечно однофамильцы и прописаны по одному адресу и МТС про это теоретически знает, но не факт что использует и даже если это так, то факт родственных связей не означает автоматической делегации супруге моих имущественных прав и тем более телефонных тайн 😜Звонок с ее номера в коллцентр имел тот же эффект - там все еще никто не работал. В приложении Мой МТС функция чата была, но не кликалась. Обновил приложение и попал в чат. Написал, что надо получить пук для другого номера, робот ответил, что он обслуживает только данный номер, но может позвать человека. Человек появился через полчаса, спросил ФИО владельца номера и через минуту выдал пук, попросив оценить работу. Я спросил на каком основании в МТС решили, что имеют дело с владельцем симкарты к которой только что отдали доступ? Изрядно подумав оператор потерла всю свою предыдущую переписку, включая пук, который я успел ввести, но не успел записать и сообщила что таковы процедуры компании МТС и что явившись в салон я могу установить еще и кодовое слово (скрины будут в камменте).

Пару месяцев назад у меня была история, что я также просирал пин и тогда я восстанавливал его с приложения, на втором телефоне, зарегистрированном на меня же - тогда с меня спросили 4 цифры паспорта. Тогда я и задумал провести эксперимент и хотел проверить будет ли сложнее процедура, если номер точно не владельца. Оказалось она даже проще с точки зрения объема доступа к персоданным атакуемого клиента (ну или там рандомайзер рекомендует что спросить про владельца и выпадает то паспорт то фио)

Отака́ хуйня, маля́та

Банки и государство если не все, то почти все в жизни человека завязали на телефонный номер не оставив гражданам никакого выбора и никакой возможности управлять своими рисками, кроме как принципиально отказаться от пользования услугами государства и банков, что вряд ли практически осуществимо для всех кроме Агафьи Лыковой. При этом похоже регулированию процедур безопасности в сотовых операторах внимания не уделяет никто. Операторы свои процедуры идентификации клиентов и восстановления доступов разрабатывали много лет назад в парадигме, что они оператор связи, а не удостоверяющий центр и максимум, чем они рискуют это нарушение тайны переписки. И спустя годы никто не выставляет к ним новых требований, учитывающих что благодаря их дырам люди могут лишаться миллионов деньгами и теперь уже имуществом, и не контролирует на предмет соблюдения таких стандартов
🤬

UPD проверено: в коллцентре Теле2 достаточно назвать ФИО и номер паспорта

BY CardReview