Перейти к публикации
Котобус

Зачем рядовым сотрудникам сотовых операторов дают конфиденциальную информацию абонента?

Оцените эту тему

Рекомендованные сообщения

Зачем сотрудникам сотовых операторов дают всю информацию об абонентах? 3 апреля в 16:21
 

Юрий Синодов

 

Один из читателей Roem.ru еще в прошлом году провел эксперимент — он попросил у нас, Roem.ru, телефонные номера трех федеральных операторов (МТС, Мегафон, Билайн) и пообещал раскрыть имеющуюся по ним информацию. Мы нашли несколько других читателей Roem.ru, которые согласились на то, чтобы экспериментатор получили их анкетные данные в обход штатных процедур операторов.

Меньше всего информации было получено в отношении номера «Билайн» — его пользователь оказался абонентом так называемого «колхоза»: организации, которая предоставляет физическим лицам пользоваться тарифными планами предназначенными для юридических лиц. Мы получили только название организации, которое мы не можем привести в отсутствие разрешения от нее.

Лучше всего оказался улов по МТС. Мы узнали тариф абонента, баланс, полные данные паспорта (номер, срок выдачи, кем и когда выдан), историю запросов в техподдержку и другую информацию из CRM:

03.10.lznp6.2.jpg

Информативный ответ был и из «Мегафона» (стоит отметить, что у нас была возможность получить информацию только по московскому филиалу компании, в отличие от других операторов). Опять же мы получили данные паспорта с пропиской, данные по балансу, дату рождения, ФИО:

monosnap.jpg

Возникает вопрос: зачем операторы дают столько возможностей просмотра рядовым сотрудникам, мало задумывающимся о соблюдении конфиденциальности?

 
Лучшие комментарии
  • Контекст комментария Альтер Эго

    Когда я участвовал в разработке CRM для одно из федеральных сотовых операторов (очень давно), там именно что нужно было номер телефона + номер паспорта для обслуживания (т.е. чтобы сотрудник мог открыть карточку клиента, клиент должен был сказать номер и номер паспорта). Другой вопрос, что на этапе вводаданных абонента при заключении контракта все данные доступны оператору. И уровень доступа, конечно, у разных сотрудников разный (представьте DBA :-)).

    Ну и в багтрекере были баги примерно такого содержания:

    «Изъян в защите от печати детализации без документа:

    если заявитель и оператор не знают номер документа, а знают только MSISDN и PUK, то им достаточно:
    — открыть карточку используя MSISDN и PUK
    — напечатать заявление например на изменение статуса
    — и …. подсмотреть там номер документа
    — теперь можно заново вызвать карточку по MSISDN и номеру документа и
    — наслаждаться незаконно полученной детализацией
    »

    :-)) И наверняка таких хаков — вагон. Но, правда, есть и аудит действий сотрудников (audit log), так что если захотеть, то найти концы можно. Плюс зонирование по регионам и т.п.

    Так что вполне допускаю, что не то что прям у операторов всё лежит в открытом виде, но просто умные сотрудники знают, как повысить себе привилегии. Или ваш источник сразу был с высокими, но об этом скромно умолчал, сделав только скриншоты КРМ, но не обьясняя, как он попал в карточку абонента.

https://roem.ru/03-04-2015/191001/slishkom-mnogo-dayut/

Поделиться сообщением


Ссылка на сообщение

И в итоге-Что? Защищаться, опасаться, менять номера?....

Поделиться сообщением


Ссылка на сообщение

И в итоге-Что? Защищаться, опасаться, менять номера?....

Как минимум, быть в курсе. В идеале - всё выкинуть и жить в лесу ;)

Поделиться сообщением


Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у Вас есть аккаунт, войдите.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


Пользовательский поиск

Яндекс.Погода

Город Московский на карте






×
×
  • Создать...