Как МТС сливает наши персональные данные

Речь не о даркнете или сливах от сотрудников. Речь о колоссальной дыре в безопасности, которую я обнаружил совершенно случайно. И это не ошибка в коде, это ошибка в логике работы самой системы.

Итак, что мы имеем?

Больше своего кешбэка МТС рекламирует только свою «экосистему».

По сути это набор разрозненных сервисов с различными юрлицами под одним брендом и весьма плохой интеграцией между собой.

Боль начинается тогда, когда у вас возникает техническая проблема на стыке двух сервисов — ответственность за сбой команды разных сервисов перекладывают друг на друга, не желая решать вашу проблему.

И да, у каждого сервиса отдельная служба поддержки с отдельными контактами.

Более того, нужно упрашивать агента поддержки завести тикет и сказать вам его номер.

Кроме того, многие вопросы в принципе невозможно решить по удаленке: вас посылают в офис МТС заполнять длиннющий бланк претензии от руки, который потом заботливо сканируется, а вам в смс падает номер заявки.

После многочасовых диалогов с поддержкой можно узнать, что команды разработки и поддержки изолированы друг от друга, общаются между собой системой тикетов и вообще не в курсе, что творится у коллег.

Теперь немного обо мне (и не только мне).

Сначала был номер, который принадлежал Билайну. Я им пользовался несколько лет, потом по MNP перенес в МТС и точно так же пользовался им несколько лет.

Кроме услуг связи я пользовался на этом номере сервисами МТС Cashback, Музыка, KION и даже МТС Банком.

Затем я поссорился с МТС, решившим отжать у меня весь кешбэк, о котором они с гордостью вещают из всех щелей своей рекламой.

Претензия вопрос не решила, поэтому я вернулся на Билайн, ибо с ворами дела иметь не хочу.

Но на этом мои приключения с яйцевидной компанией совсем не закончились, как я того ожидал.

После возвращения на Билайн я переоформил номер на свою мать и отдал его ей, то есть сменил собственника де-юро и де-факто.

Это была длинная предыстория, а теперь сама история.

Есть у МТС такая штука как МТС ID. Это сервис над сервисами, который служит «скоросшивателем» и авторизует пользователя в различных сервисах компании.

Расположен по адресу: https://profile.mts.ru/account

так выглядит мой профиль
так выглядит мой профиль

Данные в него подсасываются из систем МТС, то есть если вы текущий или бывший абонент компании, то такой полностью заполненный профиль у вас есть в 100% случаев.

Боль № 1: ваш профиль вам не принадлежит. Если вы захотите отозвать ваши персональные данные и удалить профиль, то МТС вам в этом откажет.

ты не наш абонент, но мы твои данные все равно заберем
ты не наш абонент, но мы твои данные все равно заберем

Боль № 2: вы не можете редактировать профиль или чистить его. Любые изменения должны быть подтверждены привязкой профиля госуслуг или сканом паспорта.

Боль № 3: данные в профиле не обновляются автоматически, если вы больше не абонент МТС.

Помните, я писал, что переоформил номер на мать? Да, вы верно догадываетесь, что данные в профиле МТС ID остались старые, то есть мои.

Более того, я свободно могу зайти в этот профиль, потому что можно сделать вход по постоянному паролю, а не одноразовому из смс.

А теперь представьте, что ваш бывший номер стал собственностью постороннего человека.

Что этот человек увидит, авторизовавшись в МТС ID?

Правильно, все ваши персональные данные – ФИО, дату рождения, серию и номер паспорта, прописку. А если профиль еще и привязан к госуслугам, то эти данные будут актуальнее некуда.

Если же новый пользователь все-таки сменит ваши данные на свои в МТС ID, но забудет отключить вход по постоянному паролю, то уже вы получите доступ к чужим данным.

не уверен
не уверен

Я честно не знаю, как решать проблемы подобного масштаба. Поддержка МТС вообще никак не отреагировала на мое к ним обращение по этому поводу.

Точнее, отреагировала в стиле: ну у вас же есть доступ к профилю - обновите в нем данные сами.

В общем, публика должна знать, что им грозит, если они были, есть или собираются стать клиентами МТС.

1717
11 комментариев

Я честно не знаю, как решать проблемы подобного масштабаЯ бы начал с письменного заявления на отзыв согласия обработки персональных данных. В 2 экземплярах, на втором пусть сделают отметку о принятии

1
Ответить

Недавно переоформил номер с другого человека, на котором он висел с 2006 года, а пользовался им я (в 2008 году он мне его подарил). Причем без участия владельца (он потерялся), есть такая процедура у МТС с идентификацией пользователя (что я тот самый, который пользуется этой сим картой). Зашёл по вашей ссылке - там мои данные. А не того чувака, что формально владел этим номером десятилетиями (я видел его данные раньше в личном кабинете). Что я делаю не так?

Ответить

Напишите, пожалуйста, алгоритм, по которому вы действовали, более подробно, потому что из вашего комментария я пока что вижу, что у вас иной расклад.

Ответить

Был абонентом МТС около 15 лет. Перешел к другому оператору (владельца не менял). Зашел в МТС id, там нет никаких моих персональных данных.

Ответить

А вы ранее МТС айди создавали? Он автоматом и ни у кого не появляется, его нужно именно ручками заполнить. И привязывается он к номеру телефона вне зависимости от того, какой оператор.

Ответить

Насколько помню, не создавал МТС ID ранее.

Ответить

Да, тоже столкнулся с этим. И не только в МТС, в платежных сервисах типа Золотой Короны тоже такая же история. Но там соглашаются обнулить персональные данные в профиле, а в МТС отказываются.

Ответить