Pull to refresh

Уязвимость Теле2: пользователи Telegram и Qiwi-кошелька в опасности

Reading time 3 min
Views 47K


Нет так давно я наткнулся на неприятную особенность оператора Теле2, с помощью которой можно украсть историю сообщений Telegram, получить доступ к Qiwi-кошельку и т.д. Оговорюсь, что у метода есть несколько условий и он может не сработать для конкретного человека, но тем не менее, есть реальная опасность.

У любого оператора восстановление сим-карты происходит в офисе при предъявлении паспорта владельцем. Однако, представители Теле2 идут на встречу своим клиентам и позволяют выполнить восстановление без паспорта. Нужно просто назвать ФИО, паспортные данные владельца и дубликат сим карты у вас в кармане. Сейчас ситуация немного усложнилась (нужно лично идти к представителю оператора), а раньше можно было просто купить “болванку” сим карты и по звонку в абонентскую службу переключить номер на эту болванку. Но, в общем, ситуация не поменялась — для восстановления не нужен владелец, а нужны только его данные.

Таким образом можно “угнать” номер телефона у совершенно незнакомого вам человека, просто зная его паспортные данные, достать которые сейчас особой проблемы не составляет. Например, многие слышали про недавнюю утечку у регистратора R01.RU. А ведь регистратор хранит у себя все паспортные данные (включая сканы паспортов) и номера телефонов своих клиентов. Не нужно также забывать про базы данных, которые продают в метро или гуляют по интернету. То есть берем любой номер телефона Теле2 из такой базы, берем паспортные данные и идем восстанавливать сим карту. Оригинал сим-карты при этом заблокируют, а пока владелец поймет и разберется в чем дело, можно быстро слить все необходимые данные.

Этой “уязвимости” подвержены все сервисы, которые используют номер телефона в качестве логина. Например мессенджер Telegram. У нас есть сим карта, вставляем ее в телефон, запускаем мессенджер, вводим номер телефона жертвы и Telegram отправляет нам СМС. Мы успешно получаем СМС, вводим код в Telegram и все старые сообщения подгружаются автоматически. Тот же самый метод сработает, например, для Qiwi кошелька — если на счете были деньги, то их таким же образом можно вывести со счета просто восстановив пароль по номеру телефона.

В опасности находятся не только телеграм и киви кошелек, но и любые другие сервисы, которые используют авторизацию только по номеру телефона. Да, можно банально “отжать телефон” и скачать всю нужную информацию, но такие случае мы рассматривать не будем. В результате, в один прекрасный день, ваш телефон скажет, что он не зарегистрирован в сети оператора, а тем временем, все ваши сообщения, деньги и т. д. будут украдены.

Можно сказать, что такой уязвимости подвержена любая система, которая привязана к мобильному телефону. Однако, на мой взгляд, это не так: зная логин, например, в Skype или на Яндексе, определить номер телефона, который привязан к этому логину, условно не реально или очень проблематично (ну кроме тех случаев, когда владелец сам выставил его напоказ). В случае же с Qiwi и Telegram, логином как раз и является номер телефона, поэтому дополнительно выяснять ничего не нужно.

На мой взгляд, оператору Теле2 нужно полностью исключить практику восстановления сим-карт без присутствия владельца лично в офисе. А пока оператор этого не сделал, всем сервисам, использующим авторизацию по мобильному стоит ввести для пользователей, являющихся абонентами Теле2, дополнительные механизмы защиты.

UPD: оказывается есть простой механизм защиты от такой уязвимости: при каждом новом запросе восстановления пароля (в случае Qiwi) или авторизации в Telegram делать HLR запрос. Ответ будет содержать IMSI (International Mobile Subscriber Identity) — номер сим-карты. Если этот номер изменился с момента последнего запроса, то нужно бить тревогу.
Tags:
Hubs:
+5
Comments 33
Comments Comments 33

Articles