Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе
Привет, ребятишки.
В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.
Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.
Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.
Обещаю.
Итак,
eSIM
В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.
Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.
Короче, что важно, в этот промежуток времени происходит два события:
Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.
Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.
Но первыми выдавать симки начинает другая команда.
Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».
И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.
В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.
В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.
И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.
Easy4: Начало
8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.
В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.
По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.
И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.
Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.
Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?
Дык вот...
Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.
После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.
С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.
Едем дальше.
В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.
1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.
2. Юрлицо являющееся оператором персональных данных — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: пользовательское соглашение приложения Easy4.ID.
3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.
4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.
Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.
И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.
Однако, продолжим!
Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.
Easy4: FIRST BLOOD
Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.
С моей стороны это выглядело просто: пропали сети Easy4, перестал резолвится домен easy4.pro, как следствие перестало работать мобильное приложение Easy_4.
В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.
Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.
В данном случае рецепиентом выступил Tinkoff.Mobile.
К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.
Спустя месяц.
Роскомнадзор
Буду краток.
Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.
Дважды.
В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:
На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».
А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.
Но тем не менее.
Фактчек по ответу Роскомнадзора
После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.
Убедимся, что оператор не осуществляет деятельность в текущий момент.
Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.
Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.
Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).
Пример нормальной картинки.
Убедимся, что оператор прекратил деятельность значительное время назад.
Убедимся, что мобильное приложение Easy_4 обращается к домену easy4.pro
С помощью Proxyman смотрим куда ломится телефон в момент, когда мы тыкаем в кнопки приложения Easy_4.
Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.
На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.
Случайный мув раскрывший утечку персональных данных абонентов сразу нескольких операторов
Кстати, а что с другим приложением? С вот этим — Easy.ID.
Опа-па. Никаких easy4.pro, ребята.
Зато засветились Tele2, СберМобайл и ROSTELECOM.
Смотрим, кто же такие id.world.
Ага-а-а...
Ого-о-о...
Easy4 — не фигурирует в качестве партнера.
Лезем в App Store.
Немного шаримся по сусекам и вуаля.
Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.
Крибле-крабле ...
... мумба-юмба ...
... а-за-за, а-за-за ...
... инфосек забей на век ...
... тыц-тыц-тыц ...
... пхп-пхп-пхп ...
... унц-унц-унц, бейби ...
... вашу мать, господа.
А что только что произошло?
Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.
Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.
— Можете ли вы повторить мои действия? Да, легко.
— Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.
В итоге
В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.
При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.
Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.
Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.
На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.
Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.
Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.
Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.
Боком бы теперь оно не вышло, они же вместо фикса могут просто в суд подать 😱
На что?
Там есть кнопка «Регистрация». Никаких соглашений или договоров там не акцептуется.
На кого?
Внятно, связать всё воедино и повесить целенаправленно на меня — не выйдет. Всё же я достаточно хорошо понимаю, что делаю :)
Антон, если будет время, можете описать, что НЕЛЬЗЯ делать при публикации таких уязвимостей? Чтобы нельзя было привлечь? Как я понимаю, в данном случае Вы получили доступ к СВОИМ данным, и поэтому могли опубликовать это, верно?
1. Нельзя публиковать инструкцию. В посте нет информации о конкретных действиях. Как в рецепте пороха на Ютубе: раз, два, секретный индигриент, четыре, готово.
2. Нельзя эксплуатировать уязвимость, а тем более выкладывать результаты в паблик. Да, то бишь я получил доступ к своим данным и это «серая» зона, где де-юро я нарушил, но де-факто нет пострадавшей стороны и нет ущерба.
3. Нельзя публиковать не закрытые уязвимости.
Почитайте гугл по кейворду «public disclosure policy», если хотите подробностей.
Благодарю! Получается эту уязвимость уже прикрыли?
https://vc.ru/claim/149779-moy-opyt-s-esim-operator-easy4-isparilsya-a-dannye-abonentov-okazalis-chut-li-ne-v-otkrytom-dostupe?comment=2190839
Сорян, просмотрел, спасибо