Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

Привет, ребятишки.

В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.

Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.

Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.

Обещаю.

Итак,

eSIM

В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.

Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.

Короче, что важно, в этот промежуток времени происходит два события:

В сентябре 2019 играя с огнём, ФСБ и щекоча собственный ан...тенный парк, TELE2 — проводят эксперимент в поле

Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.

Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.

Но первыми выдавать симки начинает другая команда.

В октябре 2019 разрешение выдавать eSIM напрямую абонентам получает никому неизвестный бренд easy4.pro

Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».

И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.

В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.

В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.

И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.

Easy4: Начало

8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.

В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.

По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.

Приложение Easy4.ID в App Store<br /> Антон Пискунов<br />
Приложение Easy4.ID в App Store
Антон Пискунов

И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.

Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.

Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?

Дык вот...

Оператор персональных данных приложения Easy4.ID, дата скриншота 8 января 2020 г.<br /> Антон Пискунов<br />
Оператор персональных данных приложения Easy4.ID, дата скриншота 8 января 2020 г.
Антон Пискунов

Оператором персональных данных является ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд ID World.

Капитан Очевидность

Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.

Услуги связи предоставляет ООО «Сонет» (ИНН: 7725726642), бренд Easy4.

Капитан Очевидность

После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.

Приложение Easy_4 в App Store Антон Пискунов<br />
Приложение Easy_4 в App Store Антон Пискунов

С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.

Едем дальше.

Обоими приложениями в App Store управляет ООО «Интерсат» (ИНН: 6230080065).

Капитан Очевидность

В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.

1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.

2. Юрлицо являющееся оператором персональных данных — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: пользовательское соглашение приложения Easy4.ID.

3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.

4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.

Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.

И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.

Однако, продолжим!

Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.

Easy4: FIRST BLOOD

Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.

С моей стороны это выглядело просто: пропали сети Easy4, перестал резолвится домен easy4.pro, как следствие перестало работать мобильное приложение Easy_4.

В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.

Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.

В данном случае рецепиентом выступил Tinkoff.Mobile.

К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.

Разбираемся с поддержкой Тинькова почему отвалился перенос, 12 июня 2020 г.<br /> Антон Пискунов<br />
Разбираемся с поддержкой Тинькова почему отвалился перенос, 12 июня 2020 г.
Антон Пискунов

Спустя месяц.

Совместно с поддержкой Тинькова констатируем смерть поциента, 5 августа 2020 г.<br /> Антон Пискунов
Совместно с поддержкой Тинькова констатируем смерть поциента, 5 августа 2020 г.
Антон Пискунов

Роскомнадзор

Буду краток.

Волейбол моим обращением между ведомствами в течении месяца<br /> Антон Пискунов
Волейбол моим обращением между ведомствами в течении месяца
Антон Пискунов
Ответ Роскомнадзора на вопрос по ситуации с Easy4 (ООО «Сонет», ИНН 7725726642)<br /> Антон Пискунов<br />
Ответ Роскомнадзора на вопрос по ситуации с Easy4 (ООО «Сонет», ИНН 7725726642)
Антон Пискунов

Исходники документов: раз, два, три.

Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.

Дважды.

В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:

Мы тут не очень в курсе ситуации на рынке.

Но вы же должны понимать, что в Российской Федерации вполне может бесследно раствориться оператор подвижной связи и мы не особо мотивированы делать что-то по такому пустяковому поводу, понимаете?

В целом, мы даже внятно отвечать гражданам не сильно хотим.

Но вы можете пойти в суд.

ТЧК. КНЦ ПЗДЦ.
ОТПР ОБРТН В ЖП.

Как я понимаю ответ Роскомнадзора

На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».

А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.

Но тем не менее.

Фактчек по ответу Роскомнадзора

После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.

Убедимся, что оператор не осуществляет деятельность в текущий момент.

Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.

Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.

Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).

 easy4.pro никуда не резолвится<br /> securitytrails.com
 easy4.pro никуда не резолвится
securitytrails.com

Пример нормальной картинки.

 Действующий домен на примере vc.ru securitytrails.com
 Действующий домен на примере vc.ru securitytrails.com

Убедимся, что оператор прекратил деятельность значительное время назад.

Последний раз домен easy4.pro указывал на инфраструктуру ООО «Сонет» в мае 2020 г., с тех пор домен ведет в никуда.<br /> securitytrails.com
Последний раз домен easy4.pro указывал на инфраструктуру ООО «Сонет» в мае 2020 г., с тех пор домен ведет в никуда.
securitytrails.com

Убедимся, что мобильное приложение Easy_4 обращается к домену easy4.pro

С помощью Proxyman смотрим куда ломится телефон в момент, когда мы тыкаем в кнопки приложения Easy_4.

Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.

Сетевая активность приложения Easy_4<br /> proxyman.io
Сетевая активность приложения Easy_4
proxyman.io

На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.

Случайный мув раскрывший утечку персональных данных абонентов сразу нескольких операторов

Кстати, а что с другим приложением? С вот этим — Easy.ID.

Всплытие id.world <br /> proxyman.io
Всплытие id.world
proxyman.io

Опа-па. Никаких easy4.pro, ребята.

Зато засветились Tele2, СберМобайл и ROSTELECOM.

Всплытие TELE2, СберМобайл и ROSTELECOM<br /> proxyman.io
Всплытие TELE2, СберМобайл и ROSTELECOM
proxyman.io

Смотрим, кто же такие id.world.

Лэндинг id.world<br /> Антон Пискунов
Лэндинг id.world
Антон Пискунов

Ага-а-а...

Упоминания id.world в СМИ Антон Пискунов
Упоминания id.world в СМИ Антон Пискунов

Ого-о-о...

Партнёры id.world Антон Пискунов
Партнёры id.world Антон Пискунов

Easy4 — не фигурирует в качестве партнера.

В подвале сайта куча ссылок на базовые приложения id.world<br /> Антон Пискунов<br />
В подвале сайта куча ссылок на базовые приложения id.world
Антон Пискунов

Лезем в App Store.

Базовые приложения за авторством id.world<br /> Антон Пискунов<br />
Базовые приложения за авторством id.world
Антон Пискунов

Немного шаримся по сусекам и вуаля.

Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.

Крибле-крабле ...

Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

... мумба-юмба ...

Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

... а-за-за, а-за-за ...

Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

... инфосек забей на век ...

Я получил доступ к административному интерфейсу ID.World, мной указаны мои телефон и почтовый адрес, ибо я не прячусь, но по существу, доступ может получить кто угодно используя одноразовые телефон и почту.<br /> Антон Пискунов
Я получил доступ к административному интерфейсу ID.World, мной указаны мои телефон и почтовый адрес, ибо я не прячусь, но по существу, доступ может получить кто угодно используя одноразовые телефон и почту.
Антон Пискунов

... тыц-тыц-тыц ...

Зная всего лишь ICCID я смог получить доступ к впечатляющему набору данных.<br /> Антон Пискунов
Зная всего лишь ICCID я смог получить доступ к впечатляющему набору данных.
Антон Пискунов

... пхп-пхп-пхп ...

Паспортные данные, сканы паспорта, подпись, геолокация на момент подписания договора...<br /> Антон Пискунов
Паспортные данные, сканы паспорта, подпись, геолокация на момент подписания договора...
Антон Пискунов

... унц-унц-унц, бейби ...

... даже договор с оператором связи. Отдельно орнул с того как разместили мою подпись, кек.<br /> Антон Пискунов
... даже договор с оператором связи. Отдельно орнул с того как разместили мою подпись, кек.
Антон Пискунов

... вашу мать, господа.

А что только что произошло?

Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.

Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.

Можете ли вы повторить мои действия? Да, легко.

Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.

В итоге

В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.

При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.

Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.

Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.

На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.

Открыто обращаюсь к руководителю Управления Роскомнадзора по Центральному федеральному округу Дмитрию Валерьевичу Сокоушину.

Дмитрий Валерьевич, добрый день.

Как так-то?

Искренне,
с уважением,
Пискунов Антон

Пискунов Антон Александрович
, безработный

Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.

Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.

Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.

259259
138 комментариев
150 ₽

🔥🔥🔥🔥🔥
p.s.
@Denis Shiryaev а донаты в приложении будут?

2
100 ₽

Лови пончик

9
100 ₽

Статья топ, язык огонь, автор - умничка!

8