Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

Привет, ребятишки.

В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.

Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.

Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.

Обещаю.

Итак,

eSIM

В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.

Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.

Короче, что важно, в этот промежуток времени происходит два события:

В сентябре 2019 играя с огнём, ФСБ и щекоча собственный ан...тенный парк, TELE2 — проводят эксперимент в поле

Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.

Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.

Но первыми выдавать симки начинает другая команда.

В октябре 2019 разрешение выдавать eSIM напрямую абонентам получает никому неизвестный бренд easy4.pro

Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».

И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.

В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.

В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.

И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.

Easy4: Начало

8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.

В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.

По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.

Приложение Easy4.ID в App Store
Антон Пискунов

И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.

Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.

Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?

Дык вот...

Оператор персональных данных приложения Easy4.ID, дата скриншота 8 января 2020 г.
Антон Пискунов

Оператором персональных данных является ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд ID World.

Капитан Очевидность

Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.

Услуги связи предоставляет ООО «Сонет» (ИНН: 7725726642), бренд Easy4.

Капитан Очевидность

После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.

Приложение Easy_4 в App Store Антон Пискунов

С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.

Едем дальше.

Обоими приложениями в App Store управляет ООО «Интерсат» (ИНН: 6230080065).

Капитан Очевидность

В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.

1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.

2. Юрлицо являющееся оператором персональных данных — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: пользовательское соглашение приложения Easy4.ID.

3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.

4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.

Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.

И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.

Однако, продолжим!

Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.

Easy4: FIRST BLOOD

Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.

С моей стороны это выглядело просто: пропали сети Easy4, перестал резолвится домен easy4.pro, как следствие перестало работать мобильное приложение Easy_4.

В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.

Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.

В данном случае рецепиентом выступил Tinkoff.Mobile.

К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.

Разбираемся с поддержкой Тинькова почему отвалился перенос, 12 июня 2020 г.
Антон Пискунов

Спустя месяц.

Совместно с поддержкой Тинькова констатируем смерть поциента, 5 августа 2020 г.
Антон Пискунов

Роскомнадзор

Буду краток.

Волейбол моим обращением между ведомствами в течении месяца
Антон Пискунов
Ответ Роскомнадзора на вопрос по ситуации с Easy4 (ООО «Сонет», ИНН 7725726642)
Антон Пискунов

Исходники документов: раз, два, три.

Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.

Дважды.

В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:

Мы тут не очень в курсе ситуации на рынке.

Но вы же должны понимать, что в Российской Федерации вполне может бесследно раствориться оператор подвижной связи и мы не особо мотивированы делать что-то по такому пустяковому поводу, понимаете?

В целом, мы даже внятно отвечать гражданам не сильно хотим.

Но вы можете пойти в суд.

ТЧК. КНЦ ПЗДЦ.
ОТПР ОБРТН В ЖП.

Как я понимаю ответ Роскомнадзора

На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».

А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.

Но тем не менее.

Фактчек по ответу Роскомнадзора

После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.

Убедимся, что оператор не осуществляет деятельность в текущий момент.

Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.

Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.

Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).

 easy4.pro никуда не резолвится
securitytrails.com

Пример нормальной картинки.

 Действующий домен на примере vc.ru securitytrails.com

Убедимся, что оператор прекратил деятельность значительное время назад.

Последний раз домен easy4.pro указывал на инфраструктуру ООО «Сонет» в мае 2020 г., с тех пор домен ведет в никуда.
securitytrails.com

Убедимся, что мобильное приложение Easy_4 обращается к домену easy4.pro

С помощью Proxyman смотрим куда ломится телефон в момент, когда мы тыкаем в кнопки приложения Easy_4.

Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.

Сетевая активность приложения Easy_4
proxyman.io

На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.

Случайный мув раскрывший утечку персональных данных абонентов сразу нескольких операторов

Кстати, а что с другим приложением? С вот этим — Easy.ID.

Всплытие id.world
proxyman.io

Опа-па. Никаких easy4.pro, ребята.

Зато засветились Tele2, СберМобайл и ROSTELECOM.

Всплытие TELE2, СберМобайл и ROSTELECOM
proxyman.io

Смотрим, кто же такие id.world.

Лэндинг id.world
Антон Пискунов

Ага-а-а...

Упоминания id.world в СМИ Антон Пискунов

Ого-о-о...

Партнёры id.world Антон Пискунов

Easy4 — не фигурирует в качестве партнера.

В подвале сайта куча ссылок на базовые приложения id.world
Антон Пискунов

Лезем в App Store.

Базовые приложения за авторством id.world
Антон Пискунов

Немного шаримся по сусекам и вуаля.

Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.

Крибле-крабле ...

... мумба-юмба ...

... а-за-за, а-за-за ...

... инфосек забей на век ...

Я получил доступ к административному интерфейсу ID.World, мной указаны мои телефон и почтовый адрес, ибо я не прячусь, но по существу, доступ может получить кто угодно используя одноразовые телефон и почту.
Антон Пискунов

... тыц-тыц-тыц ...

Зная всего лишь ICCID я смог получить доступ к впечатляющему набору данных.
Антон Пискунов

... пхп-пхп-пхп ...

Паспортные данные, сканы паспорта, подпись, геолокация на момент подписания договора...
Антон Пискунов

... унц-унц-унц, бейби ...

... даже договор с оператором связи. Отдельно орнул с того как разместили мою подпись, кек.
Антон Пискунов

... вашу мать, господа.

А что только что произошло?

Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.

Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.

Можете ли вы повторить мои действия? Да, легко.

Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.

В итоге

В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.

При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.

Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.

Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.

На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.

Открыто обращаюсь к руководителю Управления Роскомнадзора по Центральному федеральному округу Дмитрию Валерьевичу Сокоушину.

Дмитрий Валерьевич, добрый день.

Как так-то?

Искренне,
с уважением,
Пискунов Антон

Пискунов Антон Александрович
, безработный

Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.

Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.

Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.

0
138 комментариев
Написать комментарий...
Тот самый партизан

Расследование — мое почтение!

Ответить
Развернуть ветку
Павел

Хакинг и публичное раскрытие дыр до их починки. Вы ничем не лучше фишеров и прочих мошенников.

Ответить
Развернуть ветку
15 комментариев
Антон Пискунов
Автор

Спасибо :)

Ответить
Развернуть ветку
Yondu Udonta

Вообщеэто смешно, как компании важно надувают щеки, делают сУрьезный вид, говорят как у них все мегасекурно когда речь заходит о персональных данных, и прокалываются на таких вещах, даже, сука, не догадываясь нанять специализированную компанию провести аудит безопасности их системы. Долбоебы блять, у меня слов нет честное слово. А потом удивляемся откуда же сканы доков плавают в открытом доступе. Ну вот, из-за таких вот лошпеков.

Ответить
Развернуть ветку
Юрий Б.
  не догадываясь нанять специализированную компанию провести аудит безопасности их системы

Господи, да 80% современного айти сделано из говна и палок. Решение работает, приносит деньги, раз в несколько лет отправляется на свалку, выкатывается новое - деланное из таких же палок, все довольны, все смеются. Ну пока не случается какой-нибудь смешной факап.

Ответить
Развернуть ветку
Denis Denis

вот ща сделаем систему хранения пд граждан и точно никуда не утечет!!!!

Ответить
Развернуть ветку
Валентин Жетонофф

Не совсем понимаю в чем проблема того, что компания слилась? Что они по вашему должны делать если понесли убытки и не справились? Что вы хотели от Роскомнадзора получить?

То, что данные изи получить, это единственная по-настоящему важная информация, остальное не понимаю сути претензий))

Ответить
Развернуть ветку
Антон Пискунов
Автор

Претензии простые.

На текущий момент, при форс-мажорных обстоятельствах:

— не работает механизм миграции номера к другому оператору (т.н. MNP);

— у регулятора отсутствуют внятные план действий и рекомендации гражданам;

И общая претензия к уровню проработки взаимодействия регулятора с рынком.

Стало проще жить? :)

Ответить
Развернуть ветку
7 комментариев
Curtis Jackson

Просто похайпить захотелось. Странно кидать претензии к закрытой компании. Так же можно с мертвеца спросить, почему он не вышел на работу

Ответить
Развернуть ветку
Valentin Konusov

Боком бы теперь оно не вышло, они же вместо фикса могут просто в суд подать 😱

Ответить
Развернуть ветку
Антон Пискунов
Автор

На что?

Там есть кнопка «Регистрация». Никаких соглашений или договоров там не акцептуется.

На кого?

Внятно, связать всё воедино и повесить целенаправленно на меня — не выйдет. Всё же я достаточно хорошо понимаю, что делаю :)

Ответить
Развернуть ветку
5 комментариев
Стартапер-пессимист

В суд на автора за то, что он опубликовал публичную ссылку по которой можно зайти? Смешно.

Ответить
Развернуть ветку
1 комментарий
Вячовскi

Лови пончик

Ответить
Развернуть ветку
1 комментарий
Mike Glukhov
Ответить
Развернуть ветку
Вадим Костицын

Статья топ, язык огонь, автор - умничка!

Ответить
Развернуть ветку
Key Lansky
Ответить
Развернуть ветку
Бы Дло
Ответить
Развернуть ветку
Алексей Кисаков

Моё почтение!

Ответить
Развернуть ветку
Oleg Sheshin

Единственное что интересно - это доступ к данным, остальное чушь.
Стиль повествования и лексика как у 8 летнего ребенка имбецила, да простят они мне это сравнение. 

Ответить
Развернуть ветку
Yondu Udonta

Нет, они не простят, они придут к вам домой ночью, высосут ваш мозг и сделают вас таким же как и они, вы будете в улье подчиняться единому коллективному разуму.

Ответить
Развернуть ветку
2 комментария
Аккаунт отморожен

Такая уж это песочница - cyber security называется.
Пыщ-пыщ, хак, лол, кек...
Профессиональная лексика это. 

Ответить
Развернуть ветку
3 комментария
Anton Vlasov

Вам бы с лекскикой «кофаундер», салюшен аркитект, ситиоу зашатапиться и стопнуть тичить лайфу. 

Ответить
Развернуть ветку
Роман Николаев

Для тех кому лень читать, я сделаю небольшое саммари.

Короче пацаны я купил симку, а оператор загнулся, я пытался перетащить в другой оператор по MNP но у меня не вышло. Потом я начал копать детали и обнаружил что там куча юр.лиц, а идентификацией занимается третья сторона. Хуй знает что в этом плохого, просто смотрите оно вот так работает.
А еще я поснифил запросы от приложения, оно зачем то идет в бэкофисы моб.операторов, хуй знает пацаны зачем я это сделал, просто хотел вам показать что я умею снифить трафик.
А еще я нашел админку в которую смог залогиниться с своими данными, вот это круто да?  
Да и еще я накинул гавна на вентилятор РКН, ну чтобы хомяки меня бурно поддержали.
А еще ребятки вот вам куча скринов, дыр я никаких не нашел, просто хочу попиарить свою говно экспертизу на говно сайте за 4200 рублей в час.

Всего плохого.

Ответить
Развернуть ветку
Антон Пискунов
Автор

Божечки, какой вы забавный товарищ, вы так распереживались из-за подобных пустяков, ух...

Батенька, вы расслабьтесь, что же вы напрягаетесь на всю вольницу горланить, что шут на площади оказывается... шутки шутит!

У меня есть мнение, что никто из читателей на vc.ru совершенно не ждет хардкорного, лютого инженерного порева и диких технических подробностей об очередной нахуй никому не нужной CVE.

А вот именно бизнесовый кейс и взгляд на общую обстановку по перспективному рынку eSIM, с полей которого давненько ничего не слышно, плюс лайтовые фактчеки и диалог с регулятором, это то что надо в качестве занимательного материала.

Выдыхайте.

Ответить
Развернуть ветку
2 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Yondu Udonta

Я кстати по этой причине карты себе заказывал через отделение почты, новые, взамен истекшим старым в смысле, этот маленький лайфхак позволял избежать этого цирка с "курьер будет фотать ваш еблет с пАсспАртом". А так, в отделении почты получил, на квитке заполнил все фековыми данными и пошел восвояси с нормальными работающими картами.

Ответить
Развернуть ветку
8 комментариев
Vasiliy Gorin

Много лет пользуюсь разными продуктами Тинькофф (с курьерской доставкой), и у меня они ни разу не просили фотку с паспортом.
У меня всегда просили фотку с запечатанным конвертом продукта, который доставляют, а не с паспортом. Просто как подтверждение того, что курьер доставил продукт не нарушая целостности упаковки.

Ответить
Развернуть ветку
5 комментариев
Mikhail Shamov

Дыра, безусловно, есть (особенно "прекрасно" то, что получить доступ к данным может абсолютно левый человек или агент, который эти данные даже не вносил), но если я правильно понял, то чтобы получить сканы паспорта и прочие вкусняшки, надо знать не только ICCID SIM-карты, но и то, что она зарегистрирована через приложение ID.Abonent
Простым перебором можно долго искать.

Ответить
Развернуть ветку
Антон Пискунов
Автор

Да, верно, нужен ICCID абонента прошедшего верификацию через «провайдера» id.world.

Да, перебором искать долго. Я — не пробовал, конечно же, ибо вайтхат и у меня задача не в успешной эксплуатации уязвимости, а в её устранении.

Но учитывая, что де-факто id.world обслуживает подавляющее большинство провайдеров eSIM... нувынепонели.

Ответить
Развернуть ветку
5 комментариев
Konstantin Safonov

Не очень понял переход между обнаружением PMA и попаданием в админку с полными правами. Подобрать пароль от нужной учётной записи / использовать непропатченную уязвимость — 272 УК РФ, так-то.

Ответить
Развернуть ветку
Стартапер-пессимист

Некоторые комментаторы вроде вас даже текст автора правильно прочитать не могут, а ещё ссылки на статьи кидают УК.

Ответить
Развернуть ветку
3 комментария
Роман

Вот забавно, хаять начал есим от изи, а в итоге весь говносрач по конторе айдиворлд. Ну так пиши в Ростелеком, Тинькофф и т д что они юзают говнокод и говноприложение и у них хреновый партнёр. Пиши в Роскомнадзор, что мскмобайл раскрыл твои персданные. Или у тя свербит что изи4 жахнули твой номер мобильный или тебе надо похайпиться на трупике изи4 ;) Таки они криво, косо но запустили есим+идентификацию, вон как рынок шевельнули в этом направлении, что  иже праворубы типа тебя побежали покупать есим и помалкивали пока работало, ну а теперь да, екнулись и можно погнобить , кстати номер те вернули, если что и шевельнул этот вопрос как раз Роскомнадзор, я в курсе 🤗. Не защищаю изи4, косяков хватало, есть за что похаять, но все же ругай, коль взялся, тех кто реально виноват в твоих претензиях. С уважение бывший сотрудник Изи 

Ответить
Развернуть ветку
Антон Пискунов
Автор

Клоун.

Ответить
Развернуть ветку
1 комментарий
Артем Константинов

Блин, не успел... Пока регистрировался, уже повесили "базовую" авторизацию... А так хотелось проверить себя, как раз днях получил симку в нагрузку от ВТБ Мобайл :(

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Art

Блять какой то набор букв про то что MNP не работает.
И про то, что, о ужас MVNO используют инфраструктуру реальных операторов связи.
И о господи он получил доступ к своим персональным данным, вот это дырищу накопал!

Клоунада для того чтобы потешить свое самолюбие и получить донатов от хомяков. 
Практическая ценность статьи нулевая.

Ответить
Развернуть ветку
Антон Пискунов
Автор

Даже не пытался претендовать на художественный смысл и научную ценность.

Но мне не даёт покоя вопрос, а от чего же ты так треснул-то? Не твоя вот ты и бесишься?

Ну или откуда ваще столько переживаний по поводу какой-то статейки в интернетах?

🙃

Ответить
Развернуть ветку
Mike Kosulin

🔥🔥🔥🔥🔥
p.s.
@Denis Shiryaev а донаты в приложении будут?

Ответить
Развернуть ветку
Al Sark

В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи.

Это сейчас везде так. Второе eSim это древнее говно поданое в новой обертке, но зумеры как всегда.

Ответить
Развернуть ветку
Nikolay Kapustin

В Российской Федерации, на текущий момент, вы можете остаться без %любая_херня_творимая_гопниками%

Ответить
Развернуть ветку
3 комментария
Иван Иванов

Дыра так понял, в том что можно свои данные посмотреть? Чужие получается нельзя, т.к. iccid маловероятно подбирать?
и другой вопрос, сколько времени компания не реагировала на информацию о баге, прежде чем опубликовать эту статью?

Ответить
Развернуть ветку
Иван Иванов

Прочитав комментарии, понял что нисколько,  автор их не уведомил в принципе.

Помню, в середине нулевых  входу был термин "кулхацкер" (можно на лурке посмотреть подробное описание).  Если коротко, "позеры от хакерства и крэкерства. Употребляется по отношению к тем личностям, кто считает себя хакером".

Так вот, цель статьи, во-видимому, собрать лайков, донатов каких-то, ну и конечно потешить самолюбие. Говорить что персональные данные в открытом доступе, при том что фактически нельзя получить ни чьи персональные данные, кроме своих же — это мастерство заголовка!

Про саму дырку сказать сложно, определенно есть странное поведение. Я не знаю ничей номер iccid, да и свой чтоб посмотреть надо лезть за картой, а в плане перебора он устойчив как минимум на несколько порядков чем номера телефона. Судя по скринам, там еще регистрация  с контактными данными (это не админка, т.к. регистрация открытая), возможно это влияет на поведение, но дело не в этом.

Дело в том, что именно из-за таких кулхацкеров, готовых трещать с красивыми заголовками без уведомления владельцев, у вас потом будут сливаться деньги с карточек, появляться кредиты взятые не вами, и т.д. 

Ответить
Развернуть ветку
5 комментариев
Роман Николаев

да нет там дыр никаких, LOL 🤣 

это "бизнесовый кейс и взгляд на общую обстановку по перспективному рынку eSIM, с полей которого давненько ничего не слышно, плюс лайтовые фактчеки и диалог с регулятором, это то что надо в качестве занимательного материала."

Ответить
Развернуть ветку
Artem Kudinov

Ну ты то свою учетку через phpmyadmin дропнул-то? :)

Ответить
Развернуть ветку
Антон Пискунов
Автор

Ну, если бы они еще и креды к базе слили, то я бы ваще охуел.

Ответить
Развернуть ветку
Economic Security

Жестко, а что вы хотели? Это Россия!

Ответить
Развернуть ветку
Al Sark

Давно болеете? 

Ответить
Развернуть ветку
2 комментария
Al Sark

Давно болеете? 

Ответить
Развернуть ветку
Алексей Лисовицкий

Молодец, автор 👍🏻 

Ответить
Развернуть ветку
Антон Пискунов
Автор

Спасибо!

Ответить
Развернуть ветку
Garry Prosto

Да ты крут. Спасибо, что раскрываешь серые схемы. Этот тот момент, когда всем пох... на все, кроме денег.

Ответить
Развернуть ветку
Рустам

Только не пойму, зачем доверяться никомунеищвестной компании? Тем более - свои данные.

Ответить
Развернуть ветку
Артём

esimorder.com и никаких документов не надо)))

Ответить
Развернуть ветку
Роман Красовский

На самом деле, это проблема не только России. По всему миру персональные данные утекают. Я даже немного заступлюсь за наших, у нас не все так плохо. В Европе, в Латинской Америке всё гораздо хуже

Ответить
Развернуть ветку
Бы Дло

Европейские штрафы в 4% от оборота нам не помешали бы, как мне кажется.

Ответить
Развернуть ветку
1 комментарий
Нулевой

Антон, просто нет слов – отличная работа!))

Ответить
Развернуть ветку
Антон Пискунов
Автор

Спасибо!

Ответить
Развернуть ветку
Nikolay Kapustin

Если РКН не сказали фас делать он ничего не будет без указки. По сути вы писали в спортлото.

Ответить
Развернуть ветку
Руслан Мида

👌🏻 Вот такие спецы и нужны. Респект

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Andrey

Аxyеть просто....

Ответить
Развернуть ветку
Треугольный Илья

Читал на одном дыхании. Спасибо за пост!

Ответить
Развернуть ветку
Антон Пискунов
Автор

Спасибо!

Ответить
Развернуть ветку
Светлана Завацкая

Автору за историю огромное спасибо. Полезный материал, да и читать было  приятно.

Ответить
Развернуть ветку
Антон Пискунов
Автор

Спасибо!

Ответить
Развернуть ветку
Petya Mushkin

Пф... Паспорт можно скачать, проблема века, а то мы не живём в реальности в которой за 5000 рублей можно купить выписку со счетов, историю мобильного и т. д. Короче, вся эта история про паспорт наивная какая-то и не знаю зачем тут.

Про оператора. Да, проблема. Что вот пропал оператор и всё пропало. Ну тут опять же может быть даже лучше так, чем когда гос-во захочет всё это контролировать навернув лютого пиздеца как оно умеет (и не только у нас). Просто воспринимайте это как риск. Ну пропал и пропал. Gmail завтра закроют, вы тоже на Гугл в РКН жалобу писать пойдёте?

Ответить
Развернуть ветку
M K

А вы попробовали))))?  Некрасиво так! Ребята делают качественный сервис)

Ответить
Развернуть ветку
M K

Ребята!!! Я покупаю Esim через Европейскую контору. Там никто не просит никаких данных! Пару минут и Esim прилетает на мыло в виде
qr кода! 3 клика
http://esimorder.com

Ответить
Развернуть ветку
Alex Cloud

Похоже на ещё один развод лохов
.Рашка

Ответить
Развернуть ветку
135 комментариев
Раскрывать всегда