Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе
Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.
Дыра так понял, в том что можно свои данные посмотреть? Чужие получается нельзя, т.к. iccid маловероятно подбирать?
и другой вопрос, сколько времени компания не реагировала на информацию о баге, прежде чем опубликовать эту статью?
Прочитав комментарии, понял что нисколько, автор их не уведомил в принципе.
Помню, в середине нулевых входу был термин "кулхацкер" (можно на лурке посмотреть подробное описание). Если коротко, "позеры от хакерства и крэкерства. Употребляется по отношению к тем личностям, кто считает себя хакером".
Так вот, цель статьи, во-видимому, собрать лайков, донатов каких-то, ну и конечно потешить самолюбие. Говорить что персональные данные в открытом доступе, при том что фактически нельзя получить ни чьи персональные данные, кроме своих же — это мастерство заголовка!
Про саму дырку сказать сложно, определенно есть странное поведение. Я не знаю ничей номер iccid, да и свой чтоб посмотреть надо лезть за картой, а в плане перебора он устойчив как минимум на несколько порядков чем номера телефона. Судя по скринам, там еще регистрация с контактными данными (это не админка, т.к. регистрация открытая), возможно это влияет на поведение, но дело не в этом.
Дело в том, что именно из-за таких кулхацкеров, готовых трещать с красивыми заголовками без уведомления владельцев, у вас потом будут сливаться деньги с карточек, появляться кредиты взятые не вами, и т.д.
да нет там дыр никаких, LOL 🤣
это "бизнесовый кейс и взгляд на общую обстановку по перспективному рынку eSIM, с полей которого давненько ничего не слышно, плюс лайтовые фактчеки и диалог с регулятором, это то что надо в качестве занимательного материала."