Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе

Привет, ребятишки.

В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.

Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.

Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.

Обещаю.

Итак,

В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.

Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.

Короче, что важно, в этот промежуток времени происходит два события:

Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.

Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.

Но первыми выдавать симки начинает другая команда.

Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».

И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.

В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.

В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.

И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.

8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.

В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.

По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.

И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.

Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.

Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?

Дык вот...

Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.

После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.

С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.

Едем дальше.

В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.

1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.

2. Юрлицо являющееся оператором персональных данных — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: пользовательское соглашение приложения Easy4.ID.

3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.

4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.

Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.

И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.

Однако, продолжим!

Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.

Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.

С моей стороны это выглядело просто: пропали сети Easy4, перестал резолвится домен easy4.pro, как следствие перестало работать мобильное приложение Easy_4.

В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.

Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.

В данном случае рецепиентом выступил Tinkoff.Mobile.

К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.

Спустя месяц.

Буду краток.

Исходники документов: раз, два, три.

Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.

Дважды.

В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:

На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».

А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.

Но тем не менее.

После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.

Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.

Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.

Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).

Пример нормальной картинки.

С помощью Proxyman смотрим куда ломится телефон в момент, когда мы тыкаем в кнопки приложения Easy_4.

Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.

На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.

Кстати, а что с другим приложением? С вот этим — Easy.ID.

Опа-па. Никаких easy4.pro, ребята.

Зато засветились Tele2, СберМобайл и ROSTELECOM.

Смотрим, кто же такие id.world.

Ага-а-а...

Ого-о-о...

Easy4 — не фигурирует в качестве партнера.

Лезем в App Store.

Немного шаримся по сусекам и вуаля.

Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.

Крибле-крабле ...

... мумба-юмба ...

... а-за-за, а-за-за ...

... инфосек забей на век ...

... тыц-тыц-тыц ...

... пхп-пхп-пхп ...

... унц-унц-унц, бейби ...

... вашу мать, господа.

Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.

Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.

— Можете ли вы повторить мои действия? Да, легко.

— Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.

В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.

При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.

Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.

Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.

На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.

Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.

Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.

Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.

#жалобаeasy4 #easy4