Мой опыт с eSIM: оператор Easy4 — испарился, а данные абонентов оказались чуть ли не в открытом доступе
Привет, ребятишки.
В очередной раз, не изменяя традициям, постараюсь быстро и на пальцах, рассказать каким образом случаются серьёзные утечки персональных данных и почему это будет происходить и дальше.
Сегодня будет великолепно всё: ФСБ, Роскомнадзор, масштабный слив сканов паспортов, о котором ещё никто не знает, и угар таких масштабов, что собрать всё в одну статью заняло у меня целых полгода.
Подводка будет мутная и длинная, но поверьте мне на слово, в итоге всё сойдется и будет ор выше гор.
Обещаю.
Итак,
eSIM
В период 2019-2020 годов у нас оживилась тема с еСимками, сразу несколько экспериментов, бурное общественное обсуждение, вожделение.
Думаю, что если вы сидите на vc.ru, то детальней описывать, что такое eSIM, кому и зачем оно надо, выгоды и всё такое — не надо, ведь так? Окей.
Короче, что важно, в этот промежуток времени происходит два события:
Технология получает первую реальную обкатку на реальной инфраструктуре и реальных абонентах в РФ.
Чуть позже, в марте 2020, TELE2 совместно со структурами бренда «Tinkoff» получит легитимную возможность предоставлять eSIM через MVNO Tinkoff.Mobile.
Но первыми выдавать симки начинает другая команда.
Бэкграунд easy4.pro, это — опыт в средней руки телекоме в рамках деятельности ООО «Интерсат».
И на тот момент основной головной болью для оператора подвижной связи решившего предоставлять свои услуги посредством eSIM являлась удалённая идентификация абонента.
В случае с Тиньковым тут минимум вопросов, ибо они, как банк, уже идентифицировали абонента и имеют отлаженный процесс для новеньких.
В случае с Easy4 не имевшей подобной инфраструктуры и ресурсов вопрос идентификации абонентов был делегирован конторе id.world.
И мы к ним еще вернёмся, ибо решение проблемы идентификации абонента, через стороннее оператору связи решение привело к появлению значительной массы днища во всей этой истории.
Easy4: Начало
8 января 2020 г. в 15:42:44, я — становлюсь владельцем eSIM от оператора Easy4 путём получения простого пакета от курьера.
В пакете находился лист А4 с инструкцией и пластиковой карточкой на которой был размещен QR-код самой eSIM и её ICCID, который тоже скоро сыграет свою роль.
По инструкции нужно установить приложение Easy4.ID и с его помощью пройти процедуру удалённой идентификации.
И ровно на этом моменте мы прощаемся со здравым смыслом и готовимся начать лютейшим образом орать.
Я дальше буду выносить важные аспекты в блоки с капс-локом на розовом фоне, чтобы вы не пропустили ни грамма угара на этом празднике безумия.
Помните, что в начале я упомянул о том что оператор связи вынужден был привлечь стороннее решение для реализации процесса удалённой идентификации абонента, да?
Дык вот...
Сама процедура идентификации проста как орех: кликаешь галочки, показываешь паспорт на камеру, водишь пальцем по тачскрину имитируя подпись и всё.
После прохождения процедуры идентификации для получения возможности управления собственной eSIM нужно установить приложение Easy_4.
С его внутренностями не связано ничего интересного, ибо это простая пополнялка счёта а-ля подобие личного кабинета и всё.
Едем дальше.
В итоге, мы имеем вот такое тутти-фрутти из юрлиц участвующих в процессе уже спустя всего лишь 15 минут как стали владельцем eSIM хотя даже еще не притронулись к самой симке.
1. Юрлицо предоставляющее услуги связи — ООО «Сонет» (ИНН: 7725726642), бренд — Easy4. Источник: договор оказания услуг связи.
2. Юрлицо являющееся оператором персональных данных — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: пользовательское соглашение приложения Easy4.ID.
3. Автор исходного кода приложения — ООО «МСК МОБАЙЛ» (ИНН: 5074114273), бренд — ID World. Источник: данные полученные в дальнейшем, ниже в статье.
4. Юрлицо оперирующее мобильным приложением в App Store — ООО «Интерсат» (ИНН: 6230080065), просто «левое» юрлицо аффилированное с бенефициарами ООО «Сонет» (ИНН: 7725726642) из п.1. Источник: данные указанные в App Store.
Важно понимать, что в реальности загружает код приложений в App Store и отвечает за результат его работы всё же ООО «Интерсат». Ни ООО «Сонет», ни тем паче ООО «МСК МОБАЙЛ» де-юро никакого отношения к этим приложениям — не имеют.
И насколько я могу понимать, вот вся эта ситуация с этими юрлицами, это уже лютое ай-ай-ай.
Однако, продолжим!
Сканируем QR-код с eSIM и пробегаем простые экраны внутри iOS. Ничего интересного, всё работает, плюс-минус.
Easy4: FIRST BLOOD
Через пару месяцев после описанных выше событий паравозик имени оператора мобильной связи «Easy4» — приуныл.
С моей стороны это выглядело просто: пропали сети Easy4, перестал резолвится домен easy4.pro, как следствие перестало работать мобильное приложение Easy_4.
В конце концов при переключении на eSIM от Easy4 телефон стал сообщать об отсутствии соединения с оператором / с вышками связи.
Почитав новости и вникнув в ситуацию с Easy4 было принято решение спасать хотя бы имеющийся на eSIM мобильный номер путём процедуры MNP — переноса номера к другому оператору мобильной связи.
В данном случае рецепиентом выступил Tinkoff.Mobile.
К работе ребят из Тинькова у меня зиро вопросов, просто няшмяши, сопровождали весь трэш с MNP от Easy4 как могли, но в итоге у нас ничего не выгорело.
Спустя месяц.
Роскомнадзор
Буду краток.
Я прочитал весь текст, что мне написала в ответе г-жа заместитель руководителя Управления Роскомнадзора по Центральному федеральному округу Татьяна Юрьевна Халчева.
Дважды.
В итоге, я — смог интерпретировать несколько страниц А4 во внятный ответ ведомства, зацените:
На всякий случай напомню всем, что «сатира, это — особый вид комического: высмеивание, разоблачение отрицательных сторон жизни, изображение их в нелепом, карикатурном виде. ... а, сарказм, это — особый вид комического, язвительная насмешка, высшая степень иронии, когда негодование высказывается вполне открыто».
А так же тот факт, что Татьяна Юрьевна по большому счёту скорее всего не имеет достаточно ведомственных ресурсов и наличия в штате специалистов с требуемой узкой экспертизой, чтобы внятно ответить «как надо» в рамках сжатых сроков (месяц), поэтому данный кек с моей стороны направлен не в её адрес лично, но как в абстрактное должностное лицо представляющее ведомство и высмеивает не её лично навыки и заслуги, а факт их отсутствия у ведомства в конкретной ситуации.
Но тем не менее.
Фактчек по ответу Роскомнадзора
После ответа Роскомнадзора у меня неиллюзорно полыхнуло и засучив рукава, я — начал погружение в эту корзинку с дерьмом.
Убедимся, что оператор не осуществляет деятельность в текущий момент.
Недоступность инфраструктуры оператора будет являться весомым доводом, что деятельность не ведется.
Проверяем куда резолвится доменное имя easy4.pro и видим картину маслом.
Не только домен ведет в никуда (записи A/AAAA), но и эл. почта домена easy4.pro так же идёт в никуда (записи MX).
Пример нормальной картинки.
Убедимся, что оператор прекратил деятельность значительное время назад.
Убедимся, что мобильное приложение Easy_4 обращается к домену easy4.pro
С помощью Proxyman смотрим куда ломится телефон в момент, когда мы тыкаем в кнопки приложения Easy_4.
Поведение приложения ожидаемое, но инфраструктура оператора — недоступна.
На данном этапе мне уже очевидно, что оператор ООО «Сонет» (ИНН: 7725726642), бренд «Easy4» — не выполняет обязательства по договорам оказания услуг связи с мая 2020 года.
Случайный мув раскрывший утечку персональных данных абонентов сразу нескольких операторов
Кстати, а что с другим приложением? С вот этим — Easy.ID.
Опа-па. Никаких easy4.pro, ребята.
Зато засветились Tele2, СберМобайл и ROSTELECOM.
Смотрим, кто же такие id.world.
Ага-а-а...
Ого-о-о...
Easy4 — не фигурирует в качестве партнера.
Лезем в App Store.
Немного шаримся по сусекам и вуаля.
Окей, посмотрим, что там у ребят из ID.World видно в публичном пространстве этих ваших интернетов.
Крибле-крабле ...
... мумба-юмба ...
... а-за-за, а-за-за ...
... инфосек забей на век ...
... тыц-тыц-тыц ...
... пхп-пхп-пхп ...
... унц-унц-унц, бейби ...
... вашу мать, господа.
А что только что произошло?
Я шёл мимо информационных систем ребят которые оказывают услуги удалённой идентификации абонентов для кучи различных операторов связи и, на примере идентификатора симки принадлежащей мне же, я — смог практически анонимно, нелегитимно, довольно легко и просто получить доступ к персональным данным абонента за коим закреплена симка с указанным мною идентификатором.
Был получен доступ к паспортным данным, сканам паспорта, скану подписи, геолокации абонента на момент подписания договора, скан договора с оператором.
— Можете ли вы повторить мои действия? Да, легко.
— Потребуется ли что-то специфическое в процессе? Нет, только браузер и пять минут вашего времени.
В итоге
В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи, оператор которой может просто без предупреждения и наступления дальнейшей ответственности, прекратить выполнять собственные обязательства.
При этом будет не ясна дальнейшая судьба номерной ёмкости выделенной оператору. Не будут работать механизмы переноса номера (т.н. MNP). Какие-либо внятные инструкции от оператора или от регулятора будут отсутствовать.
Так же, констатирую, что используемые мобильными операторами партнерские информационные системы не соответствуют минимальным требованиям к качеству и не являются безопасными для пользователей.
Партнеры мобильных операторов в чьи обязанности входит обеспечение безопасности персональных данных абонентов явно не справляются с возложенной на них ответственностью.
На текущий момент информационные решения отраслевого лидера по удалённой идентификации абонентов де-факто не готовы к промышленной эксплуатации.
Я буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.
Если зашло, то закиньте звонкую монету, через донат чуть ниже, пожалуйста. А то денег нет, хоть вешайся.
Кстати, я консультирую как ментор на solvery.io, там мы с вами можем «фейс-ту-фейс» обсудить информационную безопасность вашего проекта.
Расследование — мое почтение!
Хакинг и публичное раскрытие дыр до их починки. Вы ничем не лучше фишеров и прочих мошенников.
Спасибо :)
Вообщеэто смешно, как компании важно надувают щеки, делают сУрьезный вид, говорят как у них все мегасекурно когда речь заходит о персональных данных, и прокалываются на таких вещах, даже, сука, не догадываясь нанять специализированную компанию провести аудит безопасности их системы. Долбоебы блять, у меня слов нет честное слово. А потом удивляемся откуда же сканы доков плавают в открытом доступе. Ну вот, из-за таких вот лошпеков.
Господи, да 80% современного айти сделано из говна и палок. Решение работает, приносит деньги, раз в несколько лет отправляется на свалку, выкатывается новое - деланное из таких же палок, все довольны, все смеются. Ну пока не случается какой-нибудь смешной факап.
вот ща сделаем систему хранения пд граждан и точно никуда не утечет!!!!
Не совсем понимаю в чем проблема того, что компания слилась? Что они по вашему должны делать если понесли убытки и не справились? Что вы хотели от Роскомнадзора получить?
То, что данные изи получить, это единственная по-настоящему важная информация, остальное не понимаю сути претензий))
Претензии простые.
На текущий момент, при форс-мажорных обстоятельствах:
— не работает механизм миграции номера к другому оператору (т.н. MNP);
— у регулятора отсутствуют внятные план действий и рекомендации гражданам;
И общая претензия к уровню проработки взаимодействия регулятора с рынком.
Стало проще жить? :)
Просто похайпить захотелось. Странно кидать претензии к закрытой компании. Так же можно с мертвеца спросить, почему он не вышел на работу
Боком бы теперь оно не вышло, они же вместо фикса могут просто в суд подать 😱
На что?
Там есть кнопка «Регистрация». Никаких соглашений или договоров там не акцептуется.
На кого?
Внятно, связать всё воедино и повесить целенаправленно на меня — не выйдет. Всё же я достаточно хорошо понимаю, что делаю :)
В суд на автора за то, что он опубликовал публичную ссылку по которой можно зайти? Смешно.
Лови пончик
Статья топ, язык огонь, автор - умничка!
Моё почтение!
Единственное что интересно - это доступ к данным, остальное чушь.
Стиль повествования и лексика как у 8 летнего ребенка имбецила, да простят они мне это сравнение.
Нет, они не простят, они придут к вам домой ночью, высосут ваш мозг и сделают вас таким же как и они, вы будете в улье подчиняться единому коллективному разуму.
Такая уж это песочница - cyber security называется.
Пыщ-пыщ, хак, лол, кек...
Профессиональная лексика это.
Вам бы с лекскикой «кофаундер», салюшен аркитект, ситиоу зашатапиться и стопнуть тичить лайфу.
Для тех кому лень читать, я сделаю небольшое саммари.
Короче пацаны я купил симку, а оператор загнулся, я пытался перетащить в другой оператор по MNP но у меня не вышло. Потом я начал копать детали и обнаружил что там куча юр.лиц, а идентификацией занимается третья сторона. Хуй знает что в этом плохого, просто смотрите оно вот так работает.
А еще я поснифил запросы от приложения, оно зачем то идет в бэкофисы моб.операторов, хуй знает пацаны зачем я это сделал, просто хотел вам показать что я умею снифить трафик.
А еще я нашел админку в которую смог залогиниться с своими данными, вот это круто да?
Да и еще я накинул гавна на вентилятор РКН, ну чтобы хомяки меня бурно поддержали.
А еще ребятки вот вам куча скринов, дыр я никаких не нашел, просто хочу попиарить свою говно экспертизу на говно сайте за 4200 рублей в час.
Всего плохого.
Божечки, какой вы забавный товарищ, вы так распереживались из-за подобных пустяков, ух...
Батенька, вы расслабьтесь, что же вы напрягаетесь на всю вольницу горланить, что шут на площади оказывается... шутки шутит!
У меня есть мнение, что никто из читателей на vc.ru совершенно не ждет хардкорного, лютого инженерного порева и диких технических подробностей об очередной нахуй никому не нужной CVE.
А вот именно бизнесовый кейс и взгляд на общую обстановку по перспективному рынку eSIM, с полей которого давненько ничего не слышно, плюс лайтовые фактчеки и диалог с регулятором, это то что надо в качестве занимательного материала.
Выдыхайте.
Комментарий недоступен
Я кстати по этой причине карты себе заказывал через отделение почты, новые, взамен истекшим старым в смысле, этот маленький лайфхак позволял избежать этого цирка с "курьер будет фотать ваш еблет с пАсспАртом". А так, в отделении почты получил, на квитке заполнил все фековыми данными и пошел восвояси с нормальными работающими картами.
Много лет пользуюсь разными продуктами Тинькофф (с курьерской доставкой), и у меня они ни разу не просили фотку с паспортом.
У меня всегда просили фотку с запечатанным конвертом продукта, который доставляют, а не с паспортом. Просто как подтверждение того, что курьер доставил продукт не нарушая целостности упаковки.
Дыра, безусловно, есть (особенно "прекрасно" то, что получить доступ к данным может абсолютно левый человек или агент, который эти данные даже не вносил), но если я правильно понял, то чтобы получить сканы паспорта и прочие вкусняшки, надо знать не только ICCID SIM-карты, но и то, что она зарегистрирована через приложение ID.Abonent
Простым перебором можно долго искать.
Да, верно, нужен ICCID абонента прошедшего верификацию через «провайдера» id.world.
Да, перебором искать долго. Я — не пробовал, конечно же, ибо вайтхат и у меня задача не в успешной эксплуатации уязвимости, а в её устранении.
Но учитывая, что де-факто id.world обслуживает подавляющее большинство провайдеров eSIM... нувынепонели.
Не очень понял переход между обнаружением PMA и попаданием в админку с полными правами. Подобрать пароль от нужной учётной записи / использовать непропатченную уязвимость — 272 УК РФ, так-то.
Некоторые комментаторы вроде вас даже текст автора правильно прочитать не могут, а ещё ссылки на статьи кидают УК.
Вот забавно, хаять начал есим от изи, а в итоге весь говносрач по конторе айдиворлд. Ну так пиши в Ростелеком, Тинькофф и т д что они юзают говнокод и говноприложение и у них хреновый партнёр. Пиши в Роскомнадзор, что мскмобайл раскрыл твои персданные. Или у тя свербит что изи4 жахнули твой номер мобильный или тебе надо похайпиться на трупике изи4 ;) Таки они криво, косо но запустили есим+идентификацию, вон как рынок шевельнули в этом направлении, что иже праворубы типа тебя побежали покупать есим и помалкивали пока работало, ну а теперь да, екнулись и можно погнобить , кстати номер те вернули, если что и шевельнул этот вопрос как раз Роскомнадзор, я в курсе 🤗. Не защищаю изи4, косяков хватало, есть за что похаять, но все же ругай, коль взялся, тех кто реально виноват в твоих претензиях. С уважение бывший сотрудник Изи
Клоун.
Блин, не успел... Пока регистрировался, уже повесили "базовую" авторизацию... А так хотелось проверить себя, как раз днях получил симку в нагрузку от ВТБ Мобайл :(
Комментарий недоступен
Блять какой то набор букв про то что MNP не работает.
И про то, что, о ужас MVNO используют инфраструктуру реальных операторов связи.
И о господи он получил доступ к своим персональным данным, вот это дырищу накопал!
Клоунада для того чтобы потешить свое самолюбие и получить донатов от хомяков.
Практическая ценность статьи нулевая.
Даже не пытался претендовать на художественный смысл и научную ценность.
Но мне не даёт покоя вопрос, а от чего же ты так треснул-то? Не твоя вот ты и бесишься?
Ну или откуда ваще столько переживаний по поводу какой-то статейки в интернетах?
🙃
🔥🔥🔥🔥🔥
p.s.
@Denis Shiryaev а донаты в приложении будут?
В Российской Федерации, на текущий момент, вы можете остаться без мобильной связи.
Это сейчас везде так. Второе eSim это древнее говно поданое в новой обертке, но зумеры как всегда.
В Российской Федерации, на текущий момент, вы можете остаться без %любая_херня_творимая_гопниками%
Дыра так понял, в том что можно свои данные посмотреть? Чужие получается нельзя, т.к. iccid маловероятно подбирать?
и другой вопрос, сколько времени компания не реагировала на информацию о баге, прежде чем опубликовать эту статью?
Прочитав комментарии, понял что нисколько, автор их не уведомил в принципе.
Помню, в середине нулевых входу был термин "кулхацкер" (можно на лурке посмотреть подробное описание). Если коротко, "позеры от хакерства и крэкерства. Употребляется по отношению к тем личностям, кто считает себя хакером".
Так вот, цель статьи, во-видимому, собрать лайков, донатов каких-то, ну и конечно потешить самолюбие. Говорить что персональные данные в открытом доступе, при том что фактически нельзя получить ни чьи персональные данные, кроме своих же — это мастерство заголовка!
Про саму дырку сказать сложно, определенно есть странное поведение. Я не знаю ничей номер iccid, да и свой чтоб посмотреть надо лезть за картой, а в плане перебора он устойчив как минимум на несколько порядков чем номера телефона. Судя по скринам, там еще регистрация с контактными данными (это не админка, т.к. регистрация открытая), возможно это влияет на поведение, но дело не в этом.
Дело в том, что именно из-за таких кулхацкеров, готовых трещать с красивыми заголовками без уведомления владельцев, у вас потом будут сливаться деньги с карточек, появляться кредиты взятые не вами, и т.д.
да нет там дыр никаких, LOL 🤣
это "бизнесовый кейс и взгляд на общую обстановку по перспективному рынку eSIM, с полей которого давненько ничего не слышно, плюс лайтовые фактчеки и диалог с регулятором, это то что надо в качестве занимательного материала."
Ну ты то свою учетку через phpmyadmin дропнул-то? :)
Ну, если бы они еще и креды к базе слили, то я бы ваще охуел.
Жестко, а что вы хотели? Это Россия!
Давно болеете?
Давно болеете?
Молодец, автор 👍🏻
Спасибо!
Да ты крут. Спасибо, что раскрываешь серые схемы. Этот тот момент, когда всем пох... на все, кроме денег.
Только не пойму, зачем доверяться никомунеищвестной компании? Тем более - свои данные.
esimorder.com и никаких документов не надо)))
На самом деле, это проблема не только России. По всему миру персональные данные утекают. Я даже немного заступлюсь за наших, у нас не все так плохо. В Европе, в Латинской Америке всё гораздо хуже
Европейские штрафы в 4% от оборота нам не помешали бы, как мне кажется.
Антон, просто нет слов – отличная работа!))
Спасибо!
Если РКН не сказали фас делать он ничего не будет без указки. По сути вы писали в спортлото.
👌🏻 Вот такие спецы и нужны. Респект
Комментарий недоступен
Аxyеть просто....
Читал на одном дыхании. Спасибо за пост!
Спасибо!
Автору за историю огромное спасибо. Полезный материал, да и читать было приятно.
Спасибо!
Пф... Паспорт можно скачать, проблема века, а то мы не живём в реальности в которой за 5000 рублей можно купить выписку со счетов, историю мобильного и т. д. Короче, вся эта история про паспорт наивная какая-то и не знаю зачем тут.
Про оператора. Да, проблема. Что вот пропал оператор и всё пропало. Ну тут опять же может быть даже лучше так, чем когда гос-во захочет всё это контролировать навернув лютого пиздеца как оно умеет (и не только у нас). Просто воспринимайте это как риск. Ну пропал и пропал. Gmail завтра закроют, вы тоже на Гугл в РКН жалобу писать пойдёте?
А вы попробовали))))? Некрасиво так! Ребята делают качественный сервис)
Ребята!!! Я покупаю Esim через Европейскую контору. Там никто не просит никаких данных! Пару минут и Esim прилетает на мыло в виде
qr кода! 3 клика
http://esimorder.com
Похоже на ещё один развод лохов
.Рашка