Как МТС сливает наши персональные данные

Речь не о даркнете или сливах от сотрудников. Речь о колоссальной дыре в безопасности, которую я обнаружил совершенно случайно. И это не ошибка в коде, это ошибка в логике работы самой системы.

Итак, что мы имеем?

Больше своего кешбэка МТС рекламирует только свою «экосистему».

По сути это набор разрозненных сервисов с различными юрлицами под одним брендом и весьма плохой интеграцией между собой.

Боль начинается тогда, когда у вас возникает техническая проблема на стыке двух сервисов — ответственность за сбой команды разных сервисов перекладывают друг на друга, не желая решать вашу проблему.

И да, у каждого сервиса отдельная служба поддержки с отдельными контактами.

Более того, нужно упрашивать агента поддержки завести тикет и сказать вам его номер.

Кроме того, многие вопросы в принципе невозможно решить по удаленке: вас посылают в офис МТС заполнять длиннющий бланк претензии от руки, который потом заботливо сканируется, а вам в смс падает номер заявки.

После многочасовых диалогов с поддержкой можно узнать, что команды разработки и поддержки изолированы друг от друга, общаются между собой системой тикетов и вообще не в курсе, что творится у коллег.

Теперь немного обо мне (и не только мне).

Сначала был номер, который принадлежал Билайну. Я им пользовался несколько лет, потом по MNP перенес в МТС и точно так же пользовался им несколько лет.

Кроме услуг связи я пользовался на этом номере сервисами МТС Cashback, Музыка, KION и даже МТС Банком.

Затем я поссорился с МТС, решившим отжать у меня весь кешбэк, о котором они с гордостью вещают из всех щелей своей рекламой.

Претензия вопрос не решила, поэтому я вернулся на Билайн, ибо с ворами дела иметь не хочу.

Но на этом мои приключения с яйцевидной компанией совсем не закончились, как я того ожидал.

После возвращения на Билайн я переоформил номер на свою мать и отдал его ей, то есть сменил собственника де-юро и де-факто.

Это была длинная предыстория, а теперь сама история.

Есть у МТС такая штука как МТС ID. Это сервис над сервисами, который служит «скоросшивателем» и авторизует пользователя в различных сервисах компании.

Расположен по адресу: https://profile.mts.ru/account

Данные в него подсасываются из систем МТС, то есть если вы текущий или бывший абонент компании, то такой полностью заполненный профиль у вас есть в 100% случаев.

Боль № 1: ваш профиль вам не принадлежит. Если вы захотите отозвать ваши персональные данные и удалить профиль, то МТС вам в этом откажет.

Боль № 2: вы не можете редактировать профиль или чистить его. Любые изменения должны быть подтверждены привязкой профиля госуслуг или сканом паспорта.

Боль № 3: данные в профиле не обновляются автоматически, если вы больше не абонент МТС.

Помните, я писал, что переоформил номер на мать? Да, вы верно догадываетесь, что данные в профиле МТС ID остались старые, то есть мои.

Более того, я свободно могу зайти в этот профиль, потому что можно сделать вход по постоянному паролю, а не одноразовому из смс.

А теперь представьте, что ваш бывший номер стал собственностью постороннего человека.

Что этот человек увидит, авторизовавшись в МТС ID?

Правильно, все ваши персональные данные – ФИО, дату рождения, серию и номер паспорта, прописку. А если профиль еще и привязан к госуслугам, то эти данные будут актуальнее некуда.

Если же новый пользователь все-таки сменит ваши данные на свои в МТС ID, но забудет отключить вход по постоянному паролю, то уже вы получите доступ к чужим данным.

Я честно не знаю, как решать проблемы подобного масштаба. Поддержка МТС вообще никак не отреагировала на мое к ним обращение по этому поводу.

Точнее, отреагировала в стиле: ну у вас же есть доступ к профилю - обновите в нем данные сами.

В общем, публика должна знать, что им грозит, если они были, есть или собираются стать клиентами МТС.

#мтс #мтсжалоба