Запрет на перевыпуск SIM по доверенности
3 октября 2019
Летом 2017-го я писал про общую ненадёжность аутентификации по телефону (правда по-английски). С тех пор, конечно, произошли некоторые улучшения в плане вариантов двухфакторной аутентификации у популярных сервисов, но SMS всё ешё остаётся одним из часто используемых каналов. И не только каналов. Через SMS часто есть возможность получить доступ к аккаунту.
Хабр в прошлом месяце напомнил про то, почему важно защитить свой телефон и, в частности, SIM-карту.
Чтобы предотвратить описанное в статье, конечно, лучшим способом будет не использовать SMS в качестве канала для сброса пароля или двухфакторной аутентификации и переключиться на TOTP. Но если такой возможности нет, можно сделать процедуру перевыпуска SIM чуть более сложной явно запретив делать что-либо по доверенности. Такая возможность есть у всех распространённых операторов и называется "Запрет действий по доверенности" или "запрет обслуживания по доверенности". Но, конечно, надеяться что запрет действительно сработает, не стоит. Компетентность сотрудников салонов связи часто хромает...
Комментарии RSS по email OK
Я поставил такой же запрет себе на теле2 после той статьи. Но тут еще есть и сбербанк. Поговаривают, сегодня как раз у него была утечка.
Вообще в крупных ИТ компаниях творится бардак. К примеру, я 2 года назад поменял прописку, в сбере перевыпустил карту. Там новый адрес, все хорошо, но когда я пошел открывать вклад - подтянулся мой старый адрес. Все, занавес.
Мой провайдер wifire каждые 2-3 месяца мне звонит на счет ТВ и каждый раз я им говорю, что я не смотрю ТВ дома. Так трудно поставить галочку: клиента замучали. не звонить. Нет, продолжают.
У операторов наверное еще хуже.
Бардак не только в крупных. Относительный бардак везде. Редко кто вылизывает свои внутренние процессы и системы до идеала. Это довольно дорого и часто нет понимая того, что не вылизывание может быть ещё дороже.
На самом деле операторов нужно штрафовать за то, что перепродают номер после того, как например не пользовался некоторое время, причём без уведомления. В итоге все привязанные сервисы приходится срочно перепривязывать на другой номер, это нонсенс. А бывает на некоторый сервис заходишь раз во много времени. Например я на госуслуги не заходил около года, а там был старый телефон. Ну вот забыл я о том, что у меня госуслуги привязаны к старому номеру. А там и ВУ, и паспорт и все остальные документы привязаны. А вот TOTP сейчас очень редко встретишь, в основном только SMS, что очень жаль. Authenticator очень и очень удобная штука. Жаль недооценена.
BrusSENS, я так попал с яндекс.деньгами. Мою симку переоформили в мегафоне, ох я тогда замучался с нотариусом бумаги заполнять и отправлять их, доказывая яндексу, что я не болван.
С тех пор с зелеными дел не имею.
В начале 2010-х трудился разработчиком банковского софта в крупной компании, софт которой стоял у множества банков. Был свидетелем реального случая "угона" авторизации от клиент-банка одной местной компании. Пришли какие-то типчики в отдел сотовой связи в ТЦ, сказали, что чего-то sim-карта не работает, звонки не принимает и все такое. Показали доверенность, вроде на фирменном бланке отпечатанную, даже с печатью какой-то не гербовой. А на дворе как раз конец апреля был, все на майские праздники собирались. В общем, когда бухгалтер после праздников с шашлыков вернулась, неприятный сюрприз ее ожидал. Ребят, конечно, нашли очень быстро, но нервов они людям попротили...
Вообще оформление по доверенности какая то дикость. Почему нельзя связаться с владельцем и спросить у него?
У меня номер по контракту, чтоб его "угнать", нужно прийти с паспортом и только тогда, что-то решать. В Украине так, может в России по-другому как-то