Как Мегафон заботится о безопасности данных клиентов

Всю радужную картину разрушают сотовые операторы, чьи номера и привязаны к аккаунтам интернет сервисов. По крайней мере это точно относится к Мегафону.

Сейчас я расскажу, как с помощью подключения единоразовых паролей, мошенники могут получить доступ к вашим аккаунтам в соцсетях, почтовым ящикам и т.д.

Дело в том, что у оператора Мегафон есть такой удобный (а как выяснилось - вредительский) сервис - Личный Кабинет (https://lk.megafon.ru). Предназначен он для полезных вещей - слежения за балансом, подключения и отключения разных услуг и т.д.

Хотя, большинство клиентов Мегафон им не пользуются. Часто, перед поездкой в офис, люди просто заходят в ближайший офис сотового оператора или звонят в службу поддержки и просят подключить роуминг или другую услугу. Тоже самое происходит при отключении.
При этом, сотрудники оператора предлагают воспользоваться личным кабинетом. объясняют как получить пароль и какие в этом преимущества. В основном люди соглашаются. набирают простую команду *105*00#, получают пароль (надо отметить, что он постоянный, а не разовый), подключают нужную услугу и уезжают в отпуск. Напрочь забывая про этот личный кабинет, в лучшем случае до следующего отпуска, который наступит через год.

Особо никто не парится по поводу смены пароля. Ведь он пришел в виде СМС на свой собственный телефон, кто он нем узнает... А зря.
Сам пароль представляет из себя 6-ти значный цифровой код. Да да... Всего 6 знаков и только цифры. Уже понимаете к чему я?

Что же делают мошенники?
для получения доступа к вашим профилям в разных интернет сервисах им достаточно узнать просто номер телефона. Например, в ВКонтакте или любом другом сервисе, когда-то давно дали объявление, указали свой контактный телефон, ФИО контактного лица и всё. Этого будет достаточно. Достаточно всего один раз засветить свой номер.

Злоумышленник просто запускает простейшую программу по подбору пароля. Для 6-ти знаков, это занимает не более 30 минут. Причём, авторизация в личном кабинете Мегафон не требует введения даже капчи.
Дальше интересней. У Мегафона (не знаю как у других операторов) есть такая опция, кстати, бесплатная - называется UMS (https://lk.megafon.ru). Подключив этот сервим, вы (или не вы, мегафону без разницы) может отправлять и получать СМС сообщения через WEB-интерфес. Но самое интересное, что пароль для этого сервиса такой же как и для личного кабинета (далее ЛК) Мегафон.

Т.е. вору достаточно просто узнать пароль от ЛК и он сразу же может подключить эту услугу и получить достук к вашим СМС сообщениям. Дальше дело техники. В большинстве сервисов возможна авторизация по номеру телефона.
Если злоумышленник не знает точно, где у вас находятся аккаунты, то ему надо просто методом перебора проверить все самые популярные соц.сети или почтовые ящики.
Тут уже как вы среагируете. Но обычно это происходит ночью, когда люди спят и не реагируют на приходящие смс.

Далее, меняются пароли, привязки телефону, отвязываются почтовые ящики и всё, вы уже не можете восстановить доступ через телефон или привязанный Email. Там уже другие данные. При этом на Службу Поддержки (далее СП) особо надеяться не надо. Реакция на сообщение о взломе у них как у черепахи. Официально у Mail.ru до 5 рабочих дней. У Яндекса до 3-х. При этом ещё нужно отправлять кучу доказательств принадлежности ящика - сканы, фото на фоне экрана и т.д. И в большинстве случаев ящик, на время разбирательств, даже не блокируют.

По привязке телефона и дублирующих ящиков определяется какие ещё аккаунты у вас есть, которые скорее всего, привязаны к тому же телефонному номеру.

Всё это время злоумышленники копашится в вашей почте и смотрит к чему ещё этот ящик привязан. У него есть как минимум 2 дня. Все ваши привязанные к взломанной почте учётные записи будут проверены. И если вы вовремя не отключите опцию UMS, то взломаны точно таким же образом. Но много ли людей знают об этой опции. А те кто знают, уже давно обезопасили свой ЛК.

Вот такой хитрый способ завладеть вашими аккаунтами в совершенно разных соцсетях.
Надо отметить, что проблема известна ещё с 2013 года. Однако, Мегафон принимает лишь незначительные меры по устранению отдельных уязвимостей. Не анализируя всю систему...

Для того, чтобы обезопасить себя от такой ситуации, во-первых, следует изменить стандартный, присланный на телефон, пароль от ЛК Мегафон на 26-ти значный. Это крайне усложнит, в сотни тысяч раз, процесс подбора пароля. Ну а во-вторых, не хранить важные данные в почтовых ящиках и всяких облачных сервисах, которым, так же, будет доступ у мошенника.