Мегафон позволяет мошенникам зайти в личный кабинет быстрее самого абонента
Вкратце ситуация такая: после прочтения поста «Тинькофф» и «Сбербанк» не возвращают деньги, снятые с карт мошенниками пошел проверять, как работает безопасность в сети мегафон, если у меня будет ситуация, подобная той, что была у ТС поста по ссылке – украдут телефон. Все печально, если у вас не защищен паролями сам телефон.
И все бы ничего, сам виноват, не поставил пароли на телефон, но мегафон не хочет хоть какую-то систему безопасности ввести?
В два клика через сайт или приложение можно попасть в чат со специалистом, запросить у него PUK-код от сим-карты, получить сообщение, что вам нужно будет назвать паспортные данные и кодовое слово, и не называя их, без подтверждения личности узнать тот самый PUK-код. Он позволит мошеннику восстанавливать симку сразу же, как только вы попытаетесь ее заблокировать. Красота, все для абонента.
Самое интересное, что вы в этот момент можете только блокировать и еще раз блокировать после очередного восстановления мошенником, пока не доедите до офиса и окончательно не заблокируете карту.
Бреши в защите на каждом шагу:
1. Доступ в ЛК открыт с разных сторон: в приложении автоматически стоит автовход; приложение можно удалить и скачать заново или сбросить пароли, как и на сайте, потому что в ЛК спокойно можно войти по смс
2. Повторюсь: специалист в чате, после упоминания, что нам нужно сказать данные и кодовое слово, ничего не спрашивает и просто присылает недоступные ранее данные.
3. Еще одна интересная деталь: все данные сохраняются в чате! их нельзя удалить, карл! как так? То есть в чате, который абсолютно не защищен, мегафон позволяет себе присылать конфиденциальную информацию? Вау, класс.
У меня стоят пароли и отпечатки на всех этапах, но я хочу проверить, как может оператор защитить меня, поэтому по порядку диалог со специалистами поддержки:
1. Симка у вас в телефоне, телефон без паролей.
2. Его крадут, вы замечаете не сразу, но пускай даже через 5-10 минут
3. Звоните оператору, если с вами друг или люди на улице согласятся помочь, просите заблочить, говорите данные, кодовое слово
4. Мчитесь домой за паспортом либо быстро на своей машине, либо просите кого-то вызвать такси, либо на ОТ.
5. Если вы сразу с паспортом или взяли его дома, то направляетесь в салон мегафона заблочить симку полноценно, чтобы ее вообще не существовало.
Итого у вас уйдет на полную блокировку от 15 минут до нескольких часов!
Поздравляю, в течение всего времени до полной блокировки в салоне вы ничего не добились. Мошенник спокойно мог пользоваться вашим телефоном и всеми аккаунтами, приложениями и другими сервисами, привязанными к номеру, а таких — каждое из перечисленных. Мегафон – браво!
UPD от 4 марта. В комментариях ответил представитель компании, заверив, что при блокировке номера по утрате, вы можете разблокировать несколькими способами, которые, как я понимаю, подразумевают проверку личных данных.
Немного в шоке от прочитанного. Не хотелось бы, чтобы на самом деле все было так печально.
Это всё плоды "талантливых" продакт оунеров без профильного образования с технологиям работы по agile, у которых от руководства только одна мотивация: сделать что-то "удобное" для клиента.
С любой другой стороны доработка не проверяется.
В большинстве сервисов авторизация по номеру телефона это обязаловка, при чем насколько я помню это на уровне государства требование.
Привязывай номер, говорили они, это двухфакторная безопасность, говорили они...
В итоге у нас только удобства для товарища майора и мошенников 😁
Сорри за тупой вопрос, но если Вашу симку вставят в другой телефон будет ли так же легко получить доступ к её данным?
Полагаю, да. Аналогичные действия, только на другом девайсе. Так что вы правильный вопрос задали: скорее всего при нынешней системе симкарта полностью незащищена