Зачем сотрудникам сотовых операторов дают всю информацию об абонентах?

(для верификации абонента по номеру паспорта, разумеется, необязательно показывать весь паспорт. Достаточно попросить оператора техподдержки ввести номер, предоставленный абонентом и отказывать от обслуживания, если проверка не проходит)

А потом все удивляются «почему злоумышленнику выдали в другом городе симку на мое имя»?

Именно.

По сути, достаточно знать номер, по нему можно получить паспортные данные владельца, написать солидно выглядящую доверенность, и если не в первом, то в десятом салоне, получить у растяпы-менеджера, забывшего, или не знавшего, про необходимость нотариального заверения, дубликат SIM-карты.

Можно еще один эксперимент провести: передать сознательному сотруднику МТС скриншот и проверить, найдут ли автора. Использованный аккаунт и время можно вычислить как минимум (что интересно, 04 августа 2014 года, 4 часа дня).

К слову, а что произойдет, если в сети появятся две симки на один номер?

Первая выключится

Рома, это анрил — поскольку
а) чувак может быть уже уволившимся
б) не факт, что терминал персональный
в) не факт, что лог хранится такое время
г) не факт, что МТС интересно педалировать эту тему.

Юрий, хорошо, пусть будет анрил, так всем спокойней жить.

Ваш вопрос про возможности рядовых сотрудников выглядит несложно: штрафы в КоАП по 13.11 с точки зрения операторов достаточно малы, чтобы кидаться улучшать уже имеющиеся средства и процессы защиты данных абонентов.

У рядовых сотрудников в ряде операторских CRM есть ограничения на выборку данных в период времени, поэтому больше какого-то объема инцидентов в год они не наплодят, а значит и потенциальный убыток в деньгах ограничен.

Когда я участвовал в разработке CRM для одно из федеральных сотовых операторов (очень давно), там именно что нужно было номер телефона + номер паспорта для обслуживания (т.е. чтобы сотрудник мог открыть карточку клиента, клиент должен был сказать номер и номер паспорта). Другой вопрос, что на этапе вводаданных абонента при заключении контракта все данные доступны оператору. И уровень доступа, конечно, у разных сотрудников разный (представьте DBA :-)).

Ну и в багтрекере были баги примерно такого содержания:

«Изъян в защите от печати детализации без документа:

если заявитель и оператор не знают номер документа, а знают только MSISDN и PUK, то им достаточно:
— открыть карточку используя MSISDN и PUK
— напечатать заявление например на изменение статуса
— и …. подсмотреть там номер документа
— теперь можно заново вызвать карточку по MSISDN и номеру документа и
— наслаждаться незаконно полученной детализацией»

:-)) И наверняка таких хаков — вагон. Но, правда, есть и аудит действий сотрудников (audit log), так что если захотеть, то найти концы можно. Плюс зонирование по регионам и т.п.

Так что вполне допускаю, что не то что прям у операторов всё лежит в открытом виде, но просто умные сотрудники знают, как повысить себе привилегии. Или ваш источник сразу был с высокими, но об этом скромно умолчал, сделав только скриншоты КРМ, но не обьясняя, как он попал в карточку абонента.

При этом корпоративных siloviks вполне устраивает наличие возможностей попробивать, при необходимости, нужных персонажей

Что, учитывая смычку корпоративных и государственных безопасников, не дает никакой возможности поменять в этом смысле законодательство

А вот организации защищающей права абонентов сотовой связи — у нас нет. Есть лишь организация защищающая права пользователей интернета. РОЦИТ

Узкоспециализированных и широкоизвестных одновременно организаций — действительно нет. Есть ОЗПП.

про дубликаты симкарты некая путаница. если сделать точный дубликат симкарты — раньше это было возможно даже в домашних условиях, сейчас не знаю — то можно воткнуть 2 симки в 2 телефона и обе одновременно будут работать, т.е. можно с обеих звонить, отправлять смс, пользоваться интернетом и т.д.
входящие же звонки будут поступать на ту, которая последней активность проявила

в мтс же дают другую симкарту, насколько я понимаю, т.е. как в случае замены сим-карты — номер телефона мобильного остаётся старый, а симка меняется — старая убивается и прописывается новая, и для этого требуется звонок в контактный-центр.

а если у вас есть доступ к сотруднику, который может получить всю информацию по абоненту, то что мешает этому сотруднику сразу провести требуемые операции? конспирация? :-)

Мне в скриншоте МТС понравилось Ценность: 3

Ну то есть все понятно, но тем не менее…

Там еще и «склонность к оттоку»!

Вообще-то это реально все пробить.
Помимо всего прочего в пакете трудового соглашения есть документ о неразглашении конфиденциальной информации в течении трех лет.
Сотрудника могут как уволить, так и завести уголовное дело.

На Роем.Ру первый раз услышали об услуге пробива?

Если отбросить грязные инсинуации, поскольку вообще-то мы просто друг друга недолюбливаем, и никакой смычки нет:
> При этом корпоративных siloviks вполне устраивает наличие возможностей попробивать, при необходимости, нужных персонажей
> Что, учитывая смычку корпоративных и государственных безопасников, не дает никакой возможности поменять в этом смысле законодательство

… то найти пробивщика несложно, выписать ему заслуженное наказание тоже, только проблему это не решит. И простого решения у неё тоже нет.

Ну вообще-то зная номер, можно еще довольно легко (заметим — я не говорю дешево) собрать его историю перемещений (а по ней — домашний и рабочий адрес), а в некоторых случаях — полную распиновку всех интернет-сессий и звонков с СМС-ами.
Дырки в протоколе GSM (известные и не очень) никто не отменял. И даже к оператору обращаться не надо.

В выходной написал человек, представившийся «имею отношение к СБ МТС». Написал с почты в Mail.ru, попросил написать с рабочей, после чего получил письмо в духе «спасибо, не надо, сами тогда разберемся»

С одной стороны паранойю, с другой стороны зачем кому-то кроме СБ МТС эта информация действительно нужна.

Давайте кросс-чек, дайте его инфо, а я вам скажу, имеет он отношение или нет :)

Просто мысль вслух — у меня есть знакомая, которая работает в ЗАГС.
Имея пароли ко всем записям по гражданскому состоянию людей. На мой вопрос «ты что — все можешь проверить/что то изменить и мне сказать» мне ответили «да — могу — но у нас каждый запрос с каждым паролем логируется. И регулярно люди находят проблемы на себя — поэтому никто из разумных таких вещей не делает».

Да всё у всех логируется. Услуга такая, что бороться с пробивом по ней в текущих реалиях — всё равно, что воевать с тараканами с помощью домашних тапок.

Юрий, моя гипотеза, подпитывающая вашу паранойю: кто-то захотел себе ресурс по пробиванию, через вашего анонимного читателя, или денег с него/вас шантажом получить.

С меня где сядешь там и слезешь — https://roem.ru/18-07-2011/120190/gryaznye-ruki/
А того, кто продает своего работодателя, мне не жаль, если честно.

Спасибо. Очень прикольно сравнить что было в 2007-м — и сейчас.
Например, пре-модерация альтерэг.
А небо — все точно такое же.

Угу. Альтерэги это то, что мы практически потеряли.

Просто бывают альтерэги, и альтерэги… И альтерэги.
Вот последним — мой большой респект.

Жаль, что этого больше не будет. Как, впрочем, и многого другого.