Зачем сотрудникам сотовых операторов дают всю информацию об абонентах?

Один из читателей Roem.ru еще в прошлом году провел эксперимент — он попросил у нас , Roem.ru , телефонные номера трех федеральных операторов ( МТС , Мегафон , Билайн) и пообещал раскрыть имеющуюся по ним информацию. Мы нашли несколько других читателей Roem.ru , которые согласились на то , чтобы экспериментатор получили их анкетные данные в обход штатных процедур операторов.

Меньше всего информации было получено в отношении номера « Билайн» — его пользователь оказался абонентом так называемого « колхоза»: организации , которая предоставляет физическим лицам пользоваться тарифными планами предназначенными для юридических лиц. Мы получили только название организации , которое мы не можем привести в отсутствие разрешения от нее.

Лучше всего оказался улов по МТС. Мы узнали тариф абонента , баланс , полные данные паспорта ( номер , срок выдачи , кем и когда выдан), историю запросов в техподдержку и другую информацию из CRM:

Информативный ответ был и из «Мегафона» ( стоит отметить , что у нас была возможность получить информацию только по московскому филиалу компании , в отличие от других операторов). Опять же мы получили данные паспорта с пропиской , данные по балансу , дату рождения , ФИО:

Возникает вопрос: зачем операторы дают столько возможностей просмотра рядовым сотрудникам , мало задумывающимся о соблюдении конфиденциальности?

Лучшие комментарии

Когда я участвовал в разработке CRM для одно из федеральных сотовых операторов ( очень давно), там именно что нужно было номер телефона + номер паспорта для обслуживания ( т.е. чтобы сотрудник мог открыть карточку клиента , клиент должен был сказать номер и номер паспорта). Другой вопрос , что на этапе вводаданных абонента при заключении контракта все данные доступны оператору. И уровень доступа , конечно , у разных сотрудников разный ( представьте DBA :-)).

Ну и в багтрекере были баги примерно такого содержания:

« Изъян в защите от печати детализации без документа:

если заявитель и оператор не знают номер документа , а знают только MSISDN и PUK , то им достаточно: — открыть карточку используя MSISDN и PUK — напечатать заявление например на изменение статуса — и …. подсмотреть там номер документа — теперь можно заново вызвать карточку по MSISDN и номеру документа и — наслаждаться незаконно полученной детализацией«

:-)) И наверняка таких хаков — вагон. Но , правда , есть и аудит действий сотрудников ( audit log), так что если захотеть , то найти концы можно. Плюс зонирование по регионам

Так что вполне допускаю , что не то что прям у операторов всё лежит в открытом виде , но просто умные сотрудники знают , как повысить себе привилегии. Или ваш источник сразу был с высокими , но об этом скромно умолчал , сделав только скриншоты КРМ , но не обьясняя , как он попал в карточку абонента.

Добавить 25 комментариев

(для верификации абонента по номеру паспорта , разумеется , необязательно показывать весь паспорт. Достаточно попросить оператора техподдержки ввести номер , предоставленный абонентом и отказывать от обслуживания , если проверка не проходит)

А потом все удивляются « почему злоумышленнику выдали в другом городе симку на мое имя»?

По сути , достаточно знать номер , по нему можно получить паспортные данные владельца , написать солидно выглядящую доверенность , и если не в первом , то в десятом салоне , получить у растяпы-менеджера , забывшего , или не знавшего , про необходимость нотариального заверения , дубликат SIM-карты.

Можно еще один эксперимент провести: передать сознательному сотруднику МТС скриншот и проверить , найдут ли автора. Использованный аккаунт и время можно вычислить как минимум ( что интересно , 04 августа 2014 года , 4 часа дня).

К слову , а что произойдет , если в сети появятся две симки на один номер?

Рома , это анрил — поскольку а) чувак может быть уже уволившимся б) не факт , что терминал персональный в) не факт , что лог хранится такое время г) не факт , что МТС интересно педалировать эту тему.

Юрий , хорошо , пусть будет анрил , так всем спокойней жить.

Ваш вопрос про возможности рядовых сотрудников выглядит несложно: штрафы в КоАП по 13.11 с точки зрения операторов достаточно малы , чтобы кидаться улучшать уже имеющиеся средства и процессы защиты данных абонентов.

У рядовых сотрудников в ряде операторских CRM есть ограничения на выборку данных в период времени , поэтому больше какого-то объема инцидентов в год они не наплодят , а значит и потенциальный убыток в деньгах ограничен.

Когда я участвовал в разработке CRM для одно из федеральных сотовых операторов ( очень давно), там именно что нужно было номер телефона + номер паспорта для обслуживания ( т.е. чтобы сотрудник мог открыть карточку клиента , клиент должен был сказать номер и номер паспорта). Другой вопрос , что на этапе вводаданных абонента при заключении контракта все данные доступны оператору. И уровень доступа , конечно , у разных сотрудников разный ( представьте DBA :-)).

Ну и в багтрекере были баги примерно такого содержания:

« Изъян в защите от печати детализации без документа:

если заявитель и оператор не знают номер документа , а знают только MSISDN и PUK , то им достаточно: — открыть карточку используя MSISDN и PUK — напечатать заявление например на изменение статуса — и …. подсмотреть там номер документа — теперь можно заново вызвать карточку по MSISDN и номеру документа и — наслаждаться незаконно полученной детализацией«

:-)) И наверняка таких хаков — вагон. Но , правда , есть и аудит действий сотрудников ( audit log), так что если захотеть , то найти концы можно. Плюс зонирование по регионам

Так что вполне допускаю , что не то что прям у операторов всё лежит в открытом виде , но просто умные сотрудники знают , как повысить себе привилегии. Или ваш источник сразу был с высокими , но об этом скромно умолчал , сделав только скриншоты КРМ , но не обьясняя , как он попал в карточку абонента.

При этом корпоративных siloviks вполне устраивает наличие возможностей попробивать , при необходимости , нужных персонажей

Что , учитывая смычку корпоративных и государственных безопасников , не дает никакой возможности поменять в этом смысле законодательство

А вот организации защищающей права абонентов сотовой связи — у нас нет. Есть лишь организация защищающая права пользователей интернета. РОЦИТ

Узкоспециализированных и широкоизвестных одновременно организаций — действительно нет. Есть ОЗПП.

про дубликаты симкарты некая путаница. если сделать точный дубликат симкарты — раньше это было возможно даже в домашних условиях , сейчас не знаю — то можно воткнуть 2 симки в 2 телефона и обе одновременно будут работать , т.е. можно с обеих звонить , отправлять смс , пользоваться интернетом входящие же звонки будут поступать на ту , которая последней активность проявила

в мтс же дают другую симкарту , насколько я понимаю , т.е. как в случае замены сим-карты — номер телефона мобильного остаётся старый , а симка меняется — старая убивается и прописывается новая , и для этого требуется звонок в контактный-центр.

а если у вас есть доступ к сотруднику , который может получить всю информацию по абоненту , то что мешает этому сотруднику сразу провести требуемые операции? конспирация? :-)

Мне в скриншоте МТС понравилось Ценность: 3

Ну то есть все понятно , но тем не менее…

Там еще и «склонность к оттоку»!

Вообще-то это реально все пробить. Помимо всего прочего в пакете трудового соглашения есть документ о неразглашении конфиденциальной информации в течении трех лет. Сотрудника могут как уволить , так и завести уголовное дело.

На Роем.Ру первый раз услышали об услуге пробива?

Если отбросить грязные инсинуации , поскольку вообще-то мы просто друг друга недолюбливаем , и никакой смычки нет: > При этом корпоративных siloviks вполне устраивает наличие возможностей попробивать , при необходимости , нужных персонажей > Что , учитывая смычку корпоративных и государственных безопасников , не дает никакой возможности поменять в этом смысле законодательство

… то найти пробивщика несложно , выписать ему заслуженное наказание тоже , только проблему это не решит. И простого решения у неё тоже нет.

Ну вообще-то зная номер , можно еще довольно легко ( заметим — я не говорю дешево) собрать его историю перемещений ( а по ней — домашний и рабочий адрес), а в некоторых случаях — полную распиновку всех интернет-сессий и звонков с СМС-ами. Дырки в протоколе GSM ( известные и не очень) никто не отменял. И даже к оператору обращаться не надо.

В выходной написал человек , представившийся « имею отношение к СБ МТС». Написал с почты в Mail.ru , попросил написать с рабочей , после чего получил письмо в духе « спасибо , не надо , сами тогда разберемся»

С одной стороны паранойю , с другой стороны зачем кому-то кроме СБ МТС эта информация действительно нужна.

Давайте кросс-чек , дайте его инфо , а я вам скажу , имеет он отношение или нет :)

Просто мысль вслух — у меня есть знакомая , которая работает в ЗАГС. Имея пароли ко всем записям по гражданскому состоянию людей. На мой вопрос « ты что — все можешь проверить/что то изменить и мне сказать» мне ответили « да — могу — но у нас каждый запрос с каждым паролем логируется. И регулярно люди находят проблемы на себя — поэтому никто из разумных таких вещей не делает».

Да всё у всех логируется. Услуга такая , что бороться с пробивом по ней в текущих реалиях — всё равно , что воевать с тараканами с помощью домашних тапок.

Юрий , моя гипотеза , подпитывающая вашу паранойю: кто-то захотел себе ресурс по пробиванию , через вашего анонимного читателя , или денег с него/вас шантажом получить.

С меня где сядешь там и слезешь — https://roem.ru/18−07−2011/120190/gryaznye-ruki/ А того , кто продает своего работодателя , мне не жаль , если честно.

Спасибо. Очень прикольно сравнить что было в 2007-м — и сейчас. Например , пре-модерация альтерэг. А небо — все точно такое же.

Угу. Альтерэги это то , что мы практически потеряли.

Просто бывают альтерэги , и альтерэги… И альтерэги. Вот последним — мой большой респект.