{"id":14274,"url":"\/distributions\/14274\/click?bit=1&hash=fadd1ae2f2e07e0dfe00a9cff0f1f56eecf48fb8ab0df0b0bfa4004b70b3f9e6","title":"\u0427\u0435\u043c \u043c\u0443\u0440\u0430\u0432\u044c\u0438\u043d\u044b\u0435 \u0434\u043e\u0440\u043e\u0436\u043a\u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0441\u0442\u0430\u043c?","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"6fbf3884-3bcf-55d2-978b-295966d75ee2"}

Как МТС сливает наши персональные данные

Речь не о даркнете или сливах от сотрудников. Речь о колоссальной дыре в безопасности, которую я обнаружил совершенно случайно. И это не ошибка в коде, это ошибка в логике работы самой системы.

Итак, что мы имеем?

Больше своего кешбэка МТС рекламирует только свою «экосистему».

По сути это набор разрозненных сервисов с различными юрлицами под одним брендом и весьма плохой интеграцией между собой.

Боль начинается тогда, когда у вас возникает техническая проблема на стыке двух сервисов — ответственность за сбой команды разных сервисов перекладывают друг на друга, не желая решать вашу проблему.

И да, у каждого сервиса отдельная служба поддержки с отдельными контактами.

Более того, нужно упрашивать агента поддержки завести тикет и сказать вам его номер.

Кроме того, многие вопросы в принципе невозможно решить по удаленке: вас посылают в офис МТС заполнять длиннющий бланк претензии от руки, который потом заботливо сканируется, а вам в смс падает номер заявки.

После многочасовых диалогов с поддержкой можно узнать, что команды разработки и поддержки изолированы друг от друга, общаются между собой системой тикетов и вообще не в курсе, что творится у коллег.

Теперь немного обо мне (и не только мне).

Сначала был номер, который принадлежал Билайну. Я им пользовался несколько лет, потом по MNP перенес в МТС и точно так же пользовался им несколько лет.

Кроме услуг связи я пользовался на этом номере сервисами МТС Cashback, Музыка, KION и даже МТС Банком.

Затем я поссорился с МТС, решившим отжать у меня весь кешбэк, о котором они с гордостью вещают из всех щелей своей рекламой.

Претензия вопрос не решила, поэтому я вернулся на Билайн, ибо с ворами дела иметь не хочу.

Но на этом мои приключения с яйцевидной компанией совсем не закончились, как я того ожидал.

После возвращения на Билайн я переоформил номер на свою мать и отдал его ей, то есть сменил собственника де-юро и де-факто.

Это была длинная предыстория, а теперь сама история.

Есть у МТС такая штука как МТС ID. Это сервис над сервисами, который служит «скоросшивателем» и авторизует пользователя в различных сервисах компании.

Расположен по адресу: https://profile.mts.ru/account

так выглядит мой профиль

Данные в него подсасываются из систем МТС, то есть если вы текущий или бывший абонент компании, то такой полностью заполненный профиль у вас есть в 100% случаев.

Боль № 1: ваш профиль вам не принадлежит. Если вы захотите отозвать ваши персональные данные и удалить профиль, то МТС вам в этом откажет.

ты не наш абонент, но мы твои данные все равно заберем

Боль № 2: вы не можете редактировать профиль или чистить его. Любые изменения должны быть подтверждены привязкой профиля госуслуг или сканом паспорта.

Боль № 3: данные в профиле не обновляются автоматически, если вы больше не абонент МТС.

Помните, я писал, что переоформил номер на мать? Да, вы верно догадываетесь, что данные в профиле МТС ID остались старые, то есть мои.

Более того, я свободно могу зайти в этот профиль, потому что можно сделать вход по постоянному паролю, а не одноразовому из смс.

А теперь представьте, что ваш бывший номер стал собственностью постороннего человека.

Что этот человек увидит, авторизовавшись в МТС ID?

Правильно, все ваши персональные данные – ФИО, дату рождения, серию и номер паспорта, прописку. А если профиль еще и привязан к госуслугам, то эти данные будут актуальнее некуда.

Если же новый пользователь все-таки сменит ваши данные на свои в МТС ID, но забудет отключить вход по постоянному паролю, то уже вы получите доступ к чужим данным.

не уверен

Я честно не знаю, как решать проблемы подобного масштаба. Поддержка МТС вообще никак не отреагировала на мое к ним обращение по этому поводу.

Точнее, отреагировала в стиле: ну у вас же есть доступ к профилю - обновите в нем данные сами.

В общем, публика должна знать, что им грозит, если они были, есть или собираются стать клиентами МТС.

0
10 комментариев
Написать комментарий...
Олег Золонов
Я честно не знаю, как решать проблемы подобного масштаба

Я бы начал с письменного заявления на отзыв согласия обработки персональных данных. В 2 экземплярах, на втором пусть сделают отметку о принятии

Ответить
Развернуть ветку
Калина Родионов

Недавно переоформил номер с другого человека, на котором он висел с 2006 года, а пользовался им я (в 2008 году он мне его подарил). Причем без участия владельца (он потерялся), есть такая процедура у МТС с идентификацией пользователя (что я тот самый, который пользуется этой сим картой). Зашёл по вашей ссылке - там мои данные. А не того чувака, что формально владел этим номером десятилетиями (я видел его данные раньше в личном кабинете). Что я делаю не так?

Ответить
Развернуть ветку
Mike V. Gorbunov
Автор

Напишите, пожалуйста, алгоритм, по которому вы действовали, более подробно, потому что из вашего комментария я пока что вижу, что у вас иной расклад.

Ответить
Развернуть ветку
Калина Родионов

Я перешёл по вашей ссылке из статьи, попал на страницу авторизации в МТС id, ввел номер телефона, который я недавно переоформил на себя и увидел свои данные, хотя сим карта числилась до недавнего времени за другим человеком с 2006 года. Окей. Я ввел на МТС id другой номер телефона, который был корпоративным МТС , потом Билайн, потом я оформил его на себя в билайне (но номер это МТС ный из-за mnp перехода). Там было просто пусто.

Ответить
Развернуть ветку
Mike V. Gorbunov
Автор

Ваш алгоритм не совпадает с описанным мной, поэтому у вас ожидаемо другой результат.
Если хотите воспроизвести то, что получилось у меня, перенесите свой номер из МТС к другому оператору, а затем переоформите номер на другого владельца не меняя оператора.
Тогда в МТС ID по этому номеру останутся ваши данные.
Я сейчас проверил еще на одном своем номере по этой схеме - баг повторился.

Ответить
Развернуть ветку
Корсаро Сеньор

Был абонентом МТС около 15 лет. Перешел к другому оператору (владельца не менял). Зашел в МТС id, там нет никаких моих персональных данных.

Ответить
Развернуть ветку
Mike V. Gorbunov
Автор

А вы ранее МТС айди создавали? Он автоматом и ни у кого не появляется, его нужно именно ручками заполнить. И привязывается он к номеру телефона вне зависимости от того, какой оператор.

Ответить
Развернуть ветку
Корсаро Сеньор

Насколько помню, не создавал МТС ID ранее.

Ответить
Развернуть ветку
Mike V. Gorbunov
Автор

Тогда этот пост не для вас. Проблема у тех, у кого есть МТС айди.

Ответить
Развернуть ветку
Корсаро Сеньор

Насколько помню, не создавал МТС ID ранее.

Ответить
Развернуть ветку
7 комментариев
Раскрывать всегда