ПрезиДЕНТ
Котобус

Зачем рядовым сотрудникам сотовых операторов дают конфиденциальную информацию абонента?

Оцените эту тему:

3 сообщения в этой теме

Зачем сотрудникам сотовых операторов дают всю информацию об абонентах? 3 апреля в 16:21
 

Юрий Синодов

 

Один из читателей Roem.ru еще в прошлом году провел эксперимент — он попросил у нас, Roem.ru, телефонные номера трех федеральных операторов (МТС, Мегафон, Билайн) и пообещал раскрыть имеющуюся по ним информацию. Мы нашли несколько других читателей Roem.ru, которые согласились на то, чтобы экспериментатор получили их анкетные данные в обход штатных процедур операторов.

Меньше всего информации было получено в отношении номера «Билайн» — его пользователь оказался абонентом так называемого «колхоза»: организации, которая предоставляет физическим лицам пользоваться тарифными планами предназначенными для юридических лиц. Мы получили только название организации, которое мы не можем привести в отсутствие разрешения от нее.

Лучше всего оказался улов по МТС. Мы узнали тариф абонента, баланс, полные данные паспорта (номер, срок выдачи, кем и когда выдан), историю запросов в техподдержку и другую информацию из CRM:

03.10.lznp6.2.jpg

Информативный ответ был и из «Мегафона» (стоит отметить, что у нас была возможность получить информацию только по московскому филиалу компании, в отличие от других операторов). Опять же мы получили данные паспорта с пропиской, данные по балансу, дату рождения, ФИО:

monosnap.jpg

Возникает вопрос: зачем операторы дают столько возможностей просмотра рядовым сотрудникам, мало задумывающимся о соблюдении конфиденциальности?

 
Лучшие комментарии
  • Контекст комментария Альтер Эго

    Когда я участвовал в разработке CRM для одно из федеральных сотовых операторов (очень давно), там именно что нужно было номер телефона + номер паспорта для обслуживания (т.е. чтобы сотрудник мог открыть карточку клиента, клиент должен был сказать номер и номер паспорта). Другой вопрос, что на этапе вводаданных абонента при заключении контракта все данные доступны оператору. И уровень доступа, конечно, у разных сотрудников разный (представьте DBA :-)).

    Ну и в багтрекере были баги примерно такого содержания:

    «Изъян в защите от печати детализации без документа:

    если заявитель и оператор не знают номер документа, а знают только MSISDN и PUK, то им достаточно:
    — открыть карточку используя MSISDN и PUK
    — напечатать заявление например на изменение статуса
    — и …. подсмотреть там номер документа
    — теперь можно заново вызвать карточку по MSISDN и номеру документа и
    — наслаждаться незаконно полученной детализацией
    »

    :-)) И наверняка таких хаков — вагон. Но, правда, есть и аудит действий сотрудников (audit log), так что если захотеть, то найти концы можно. Плюс зонирование по регионам и т.п.

    Так что вполне допускаю, что не то что прям у операторов всё лежит в открытом виде, но просто умные сотрудники знают, как повысить себе привилегии. Или ваш источник сразу был с высокими, но об этом скромно умолчал, сделав только скриншоты КРМ, но не обьясняя, как он попал в карточку абонента.

https://roem.ru/03-04-2015/191001/slishkom-mnogo-dayut/

1 пользователю понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И в итоге-Что? Защищаться, опасаться, менять номера?....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И в итоге-Что? Защищаться, опасаться, менять номера?....

Как минимум, быть в курсе. В идеале - всё выкинуть и жить в лесу ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас