Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе
Привет, ребятишки.
В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.
Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.
Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.
Обещаю.
Итак,
eSIM
В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.
Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.
Короче, что важно, в этот промежуток времени происходит два события:
В сентябре 2019 играя с огнём, ФСБ и щекоча собственный ан...тенный парк, TELE2 — проводят эксперимент в поле
Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.
Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.
Но первыми выдавать симки начинает другая команда.
В октябре 2019 разрешение выдавать eSIM напрямую абонентам получает никому неизвестный бренд easy4.pro
Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».
И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.
В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.
В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.
И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.
Easy4: Начало
8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.
В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.
По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.
Антон Пискунов
И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.
Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.
Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?
Дык вот...
Антон Пискунов
Оператором персональных данных является ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд ID World.
Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.
Услуги связи предоставляет ООО «Сонет» (ИНН: 7725726642), бренд Easy4.
После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.
С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.
Едем дальше.
Обоими приложениями в App Store управляет ООО «Интерсат» (ИНН: 6230080065).
В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.
1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.
3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.
4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.
Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.
И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.
Однако, продолжим!
Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.
Easy4: FIRST BLOOD
Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.
В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.
Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.
В данном случае рецепиентом выступил Tinkoff.Mobile.
К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.
Антон Пискунов
Спустя месяц.
Антон Пискунов
Роскомнадзор
Буду краток.
Антон Пискунов
Антон Пискунов
Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.
Дважды.
В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:
Мы тут не очень в курсе ситуации на рынке.
Но вы же должны понимать, что в Российской Федерации вполне может бесследно раствориться оператор подвижной связи и мы не особо мотивированы делать что-то по такому пустяковому поводу, понимаете?
В целом, мы даже внятно отвечать гражданам не сильно хотим.
Но вы можете пойти в суд.
ТЧК. КНЦ ПЗДЦ.
ОТПР ОБРТН В ЖП.
На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».
А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.
Но тем не менее.
Фактчек по ответу Роскомнадзора
После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.
Убедимся, что оператор не осуществляет деятельность в текущий момент.
Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.
Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.
Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).
securitytrails.com
Пример нормальной картинки.
Убедимся, что оператор прекратил деятельность значительное время назад.
securitytrails.com
Убедимся, что мобильное приложение Easy_4 обращается к домену easy4.pro
Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.
proxyman.io
На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.
Случайный мув раскрывший утечку персональных данных абонентов сразу нескольких операторов
Кстати, а что с другим приложением? С вот этим — Easy.ID.
proxyman.io
Опа-па. Никаких easy4.pro, ребята.
Зато засветились Tele2, СберМобайл и ROSTELECOM.
proxyman.io
Смотрим, кто же такие id.world.
Антон Пискунов
Ага-а-а...
Ого-о-о...
Easy4 — не фигурирует в качестве партнера.
Антон Пискунов
Лезем в App Store.
Антон Пискунов
Немного шаримся по сусекам и вуаля.
Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.
Крибле-крабле ...
... мумба-юмба ...
... а-за-за, а-за-за ...
... инфосек забей на век ...
Антон Пискунов
... тыц-тыц-тыц ...
Антон Пискунов
... пхп-пхп-пхп ...
Антон Пискунов
... унц-унц-унц, бейби ...
Антон Пискунов
... вашу мать, господа.
А что только что произошло?
Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.
Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.
— Можете ли вы повторить мои действия? Да, легко.
— Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.
В итоге
В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.
При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.
Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.
Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.
На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.
Открыто обращаюсь к руководителю Управления Роскомнадзора по Центральному федеральному округу Дмитрию Валерьевичу Сокоушину.
Дмитрий Валерьевич, добрый день.
Как так-то?
Искренне,
с уважением,
Пискунов Антон
Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.
Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.
Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.
Моё почтение!
🔥🔥🔥🔥🔥
p.s.
@Denis Shiryaev а донаты в приложении будут?
Лови пончик
Статья топ, язык огонь, автор - умничка!