Если вы звоните в техническую поддержку МТС по номеру 0890 со своего мобильного телефона, МТС вас идентифицирует как абонента. Вы спокойно ведете диалог и решаете насущные вопросы.
Но мало кто знает, что у МТС есть и другой номер: 88002500890. Позвонить на который можно с ЛЮБОГО номера. Еще и бесплатно. И вот какая интересная история случилась.
Вообще впервые с этим багом я столкнулся в 2019 году. Схема такая. Если звонок поступает на 88 002 500 890 не с мобильного номера МТС, нужно было через IVR ввести серию и номер паспорта для идентификации. Я ввел номер паспорта — но специально с ошибкой. МТС меня все равно идентифицировал как абонента и «слил» все данные, относящиеся к тайне связи. Тогда я писал официальное обращение в МТС с просьбой устранить проблему. Ответа не последовало.
МТС, похоже, часть этого IVR устранил. Но не проблему. И стало все еще интереснее.
Теперь ЛЮБОЙ человек может позвонить на номер 88002500890, дождаться ответа оператора, назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.
Ребята в МТС, вы там не уху случайно ели?!!!
Как я это выяснил? Да я просто запарился ждать 3 дня ответа в чате поддержки на очередное незаконное списание денег. У вас там токены для ИИ закончились в вашем «ИИ‑чате» что ли? Вот и решил вас «побеспокоить» звонком. Но поскольку «проблемный» номер сейчас у другого пользователя, позвонить я с него не могу. Вот и набрал с рабочего. А тут такая красота выяснилась.
Если что — телефонный разговор с оператором был записан. Все доказательства могу представить лично руководителю/безопасникам МТС для осознания того, в какой «ситуации» оказалась Ваша компания. И какую угрозу для своих клиентов вы создали.
Вам не инновации и экосистемы нужно строить, а сделать минимальный аудит ваших бизнес-процессов и клиентской поддержки.
Вообще борьба в формате «удобно/безопасно» — вечная. Похоже, в современном мире большие корпорации выбирают первое, а не второе. Что крайне опасно.
Надеюсь, этот пост МТС увидит раньше, чем мошенники.
Комментарии (54)
ivankudryavtsev
09.09.2025 07:54Господа, вы в 2025м году, ну какие тайны?)
bk99
09.09.2025 07:54При чём тут тайны? В статье же написано: "вытворять с номером все, что он захочет. Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг". Лично я не желаю, чтобы кто-то подключил мне платную подписку.
GidraVydra
09.09.2025 07:54Лично я не желаю, чтобы кто-то подключил мне платную подписку.Ваши желания - ваши проблемы (с)
urvanov
09.09.2025 07:54Лично я не желаю, чтобы кто-то подключил мне платную подписку.
Для этого посторонний не нужен. Сотовые операторы это делают сами, чтобы вам не беспокоиться.
yard Автор
09.09.2025 07:54Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 31.07.2025) "О связи"
Статья 63. Тайна связи
1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.
Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.
4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.
fosihas
09.09.2025 07:54а) напиши жалобу в надзорный орган
б) подай на них в суд.
Да ты указал им, но если ноль реакции. И нет смысла вызвать к совести. Есть другие способы решения.
achekalin
09.09.2025 07:54Сейчас в банковских приложениях (альфа, ВТБ) появилась информация "у Вас долг перед билайном столько-то". Т.е. им уже даже без палева показывать, что тайна договора абонента и сотового оператора - не тайна вовсе. И банк говорит - у нас в договоре с вами есть мелкого шрифта пункт, что мы можем о вашей активности и действиях по договору с сотовой компанией получать информацию - вы же сами нам право дали!
Замечу, это не да/нет пункты, это стандартная часть договора. Те отказаться попробовать можно, но юристы банка не согласны.
yard Автор
09.09.2025 07:54Да, меня это тоже удивило в свое время. У Вас есть ссылка на полный текст правил, на которые они ссылаются?
VladimirFarshatov
09.09.2025 07:54Года полтора взад, собеседовался туда как Гошник. Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам. Не удивляет, но может что-то и изменилось за это время.
Rorg
09.09.2025 07:54Отказался по причине того, что собеседователь оказался "ниже рангом" по хард-скиллам.
Если не секрет, почему вы отказались из-за этого?
VladimirFarshatov
09.09.2025 07:54Потому что уже имел (и не единожды) опыт, если на собеседовании на встречный вопрос слышно "а что так можно?", то потом тебя будут отправлять "высадитесь на Солнце. Да, мы не дураки, высаживайтесь ночью". Да и .. до них нашел вполне приличное место, не жалею.
germn
09.09.2025 07:54То есть если однажды к вам на собеседование попадёт человек "выше рангом" по хард-скиллам, ему следует побыстрей отказаться от процесса, чтоб вы его на солнце не отправили?
plFlok
09.09.2025 07:54ух, в холиварную тему провоцируете уйти.
По-моему как раз это и норма, когда нанимают специалиста с выдающимися навыками, которых нет ни у кого из текущих сотрудников, чтобы расширить границы компетентности команды.
Отправлять на солнце ночью - норма, если у отправляемого есть право заявить, что согласно его экспертизе это невозможно потому-то и потому-то, и надо искать другие пути решения задачи.
Избегать такого найма - это какая-то обратная селекция, как будто хочется специально попасть к командам, которые не знают, зачем нанимают.
Shaman_RSHU
09.09.2025 07:54Руководитель безопасников МТС есть на хабре, но врядли Вам ответит. Гораздо важнее выступать на различных конференциях, продавая свой SOC.
Gnuava
09.09.2025 07:54Теперь ЛЮБОЙ человек может позвонить на номер 88002500890, дождаться ответа оператора, назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.Вижу крики белки-истерички.
Данные совпадают? Обслуживание продолжается, данные не совпадают? Пока-пока. Паспорт тут далеко не обязателен, это простой и понятный принцип, даже сказал бы, что это стандарт в отрасли.
У меня тут больше вопрос к IVR
Я ввел номер паспорта - но специально с ошибкой. МТС меня все равно идентифицировал как абонента и «слил» все данные, относящиеся к тайне связи.Значит, номер паспорта не был причиной для идентификации, а был потребностью в регулярном подтверждении ПД. Именно поэтому его и убрали потом.
yard Автор
09.09.2025 07:54Какие данные совпадают? Те, что запрошены - да. А какие ДОЛЖНЫ совпадать и запрашиваться? И какой способ подтверждения абонента является законным?
Gnuava
09.09.2025 07:54А какие ДОЛЖНЫ совпадать и запрашиваться?ФИО и номера телефона / договора достаточно.
И какой способ подтверждения абонента является законным?А тут всё на усмотрении организации.
Многого при общении с тех. поддержкой ты все равно не сделаешь.
Уточнять баланс, списания, запрашивать у оператора детализацию, менять состав услуг.Это же настолько же интересные сведения, вау, ими можно оперировать в мошеннических целях, только вот как, и почему до сих пор нет пострадавших?
Если вы настолько мнительный, закажите идентификацию по кодовому слову.
Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Обычным ширнармассам такое излишне, и будет только мешать.
yard Автор
09.09.2025 07:54ФИО и номера телефона / договора достаточно.
Кто решил, что этого достаточно?
yard Автор
09.09.2025 07:54Тогда у любого оператора при открытии вашей карточки будет жирно и крупно написано "идентификация по кодовому слову $слово".
Я вас расстрою, что мобильные операторы даже при установленном кодовом слове все раскрывают. Примеры из практики у меня тоже есть. И очень много.Gnuava
09.09.2025 07:54И какая с этого ответственность у оператора наступила?
мобильные операторы даже при установленном кодовом слове все раскрываютТогда причем тут МТС, если это общая температура по больнице?
kogemrka
09.09.2025 07:54Тогда причем тут МТС, если это общая температура по больнице?
Если Васян ворует, Васян должен за это ответить.
Тот факт, что кроме Васяна ворует ешё и Петян и Стасян никак не оправдывает Васяна. Конечно, этот факт может добавить обществу дополнительных задач и обсуждений, но не должно повлиять на наказание Васяна.
vShadow
09.09.2025 07:54А как вы узнали, есть пострадавшие или их нет? Вот такое, например, добралось до Интернета:
МТС игнорит клиентов и подключает платные услуги без согласия
Пойми теперь - это инициатива оператора или кто-то хулиганит.
Gnuava
09.09.2025 07:54Глядя, с какой легкостью компенсируются средства при первом обращении, никто ничего не узнает наверняка.
RomanDrDev
09.09.2025 07:54Все же узнать номер и ФИО можно из слитых в большом количестве баз. Да и, скорее всего, у тебя тоже есть знакомые с симками МТС. Это же не значит, что ты должен иметь возможность управлять их тарифами, как тебе вздумается? Вопрос только в том, точно ли это так работает? Я вот сейчас пытался вспомнить, были ли какие-то подтверждения, когда я звонил на этот номер, или действительно хватало только этих данных.
YegorP
09.09.2025 07:54узнать номер и ФИО можно из слитых в большом количестве баз
Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё. Даже коммунальщики давно догадались печатать в извещениях только инициалы.
shark14
09.09.2025 07:54Скажите это Мосэнергосбыту, они в 2025 году до сих пор пишут полные ФИО на квитанциях.
inkelyad
09.09.2025 07:54Банковское приложение подскажет вам имя-отчество и первую букву фамилии без всяких там слитых баз. Финтех, ёмоё.
Если не показывать - жалоб будет еще больше. Или шуму "почему банк меня не предупредил и не показал, я в наборе телефонного номера ошибся, когда деньги переводили". Ну и строго говоря - как обосновать запрет узнавания кому ты, собственно, переводишь?
Тут просто сама концепция дурная - одновременно хотим и не хотим, чтобы эти ФИО были публичными.
Antares1991
09.09.2025 07:54Вы, по-ходу, посыл не поняли. Представьте, что у вас есть недруг, и ему, чтобы прокинуть вас на бабки через доп. услуги МТСа, достаточно знать ваши ФИО и номер телефона. Т.е. любой условный коллега/одноклассник/сосед может слить Ваш баланс без какого-либо хакерства вообще. Как вам такое? Даже требование номера договора уже на порядок повысит устойчивость, а так это даже не открытая дверь, это распахнутые ворота в 10 метрах от охраняемой проходной.
apevzner
09.09.2025 07:54Алло! Здравствуйте, это анонимный телефон доверия ФСБ?
Да, Василий Васильевич. А почему, кстати, вы с телефона своей тёщи звоните?
andi123
09.09.2025 07:54Есть симка для ребенка, в которой отключили все, что можно, кроме звонков (растет юный пентестер). Даже поставили "кодовое слово" (МТС позволяет это сделать в любом пункте обслуживания, чтобы через оператора нельзя было сделать такой фигни о которой говорит ТС). Оказалось, что даже это не панацея. Оператор тупо не видит у себя в интерфейсе, что установлено кодовое слово и нужно его запрашивать.
Выяснилось когда ребенок опять всякое наподключал - просто позвонил оператору и попросил.
yard Автор
09.09.2025 07:54Вот я про это выше в одном из комментариев и написал - что даже кодовое слово не спасает. Его тоже игнорируют операторы.
Вообще оператор тогда должен нести ответственность за игнорирование кодового слова.
pes_loxmaty
09.09.2025 07:54просто позвонил оператору и попросил
Так оператор финансово заинтересован в подключении любых платных услуг.
А доказать, что ты такого не подключал затруднительно для обычного обывателя
Inskin
09.09.2025 07:54В Мегафоне меня спасало "наехать" (без фанатизма). Один раз тариф вернули, с которого втихаря перевели на более дорогой ("если вы не читаете смс, значит вы согласны на удорожание тарифа"), другой раз отключили платную подписку и вернули деньги.
LinkToOS
09.09.2025 07:54Если все так, то почему диверсанты до сих пор не написали бота, и не устроили хаос? Заинтересантов в хаосе сейчас хватает. И для обычных мошенников-разводил это суперинструмент.
Может не все так просто, и есть проверка неочевидного "цифро-аналогового отпечатка"? Образцы голоса, список "аффилированных" номеров телефона, например. Или это было бы чересчур для такой высокотехнологичной компании? Обычный тупизм-пофигизм более вероятен.
nitro80
09.09.2025 07:54Образцы голоса
Это же биометрия, её разве можно собирать без ведома абонента?
LinkToOS
09.09.2025 07:54Биометрию не можно. Но список всех номеров, принадлежащих человеку, уже достаточно давно доступен операторам. Автор наверняка с одного из своих номеров звонил.
yard Автор
09.09.2025 07:54Нет, звонок был с сети фиксированного оператора. Оформленного на юридическое лицо. Про него МТС не знает ничего.
sovbez
09.09.2025 07:54пример Аэрофлота уже показал, что огроменные дыры в ИБ запросто могут быть даже у крупнейших компаний
Calculater
09.09.2025 07:54А где/у кого их нет? Наверно мы их еще не знаем, или уже не услышим, по причине прекращения деятельности.
PatakinVVV
09.09.2025 07:54Классическая история. Кто-то в погоне за улучшением клиентского опыта решил, что запрашивать паспортные данные по телефону - это долго и неудобно. Убрали проверку, а про то что ФИО и номер телефона - это по сути публичная информация, никто не подумал. Это не злой умысел, это обычная халатность на стыке отделов
IlyaStroynov
не дыра, а ДЫРИЩЩЕ!
MrSmitix
Если предположить гипотетическую ситуацию, когда у меня есть конкурент, использующий МТС для общения с клиентами, а я прекрасно знаю его ФИО и не только, то подобная брешь позволяет мне легко сформировать детализацию звонков за последние 1–3 года и отправить её себе на почту. Слитая клиентская база - это уже совсем не шутка.
Очень маленький процент микробизнесов использует телефонию. Хотя, возможно, слить детализацию с "бизнес"-номера можно аналогично. По крайней мере, из ЛК я могу указать любую почту для отправки. Но, наблюдая, как работает их поддержка в B2B, скорее всего, человеку на том конце провода будет просто впадлу что-то делать
Да и есть более бытовые варианты. Узнать, с кем общается ваш супруг/супруга. Или просто девушка, которая кинула вас в ЧС после первого свидания, а вы, aka сталкер, её кошмарите и продолжаете за ней следить. Последний кейс осуждаем, но люди разные бывают
В тексте автор больше суеты наводит, чем показывает реальные кейсы. Получилось ли что-то подключить? Хотя на счёт этого есть косвенные доказательства ниже в комментах. Получилось ли запросить детализацию не на привязанную почту? Получилось ли что-то изменить? Почему бы не провести эксперименты на собственном номере и написать статью уже с фактами? Что именно автору слили в 2019 году?
Я не имею отношения к МТС и, более того, презираю их за множество косяков, но без ответов на эти вопросы это больше похоже на "крики белки-истерички", как писали ниже. Но это лучше, чем ничего. Одно дело - говорить, что сделайте так-то, и вы сможете получить условную детализацию, а другое - я сделал так-то и получил детализацию на левую почту, позвонив с левого номера и сообщив только вот такие данные, и у меня есть вот такие-то доказательства. Тут уже и МТС стандартными отписками не отделается, если решат что-то ответить вообще
i_grin
" Слитая клиентская база - это уже совсем не шутка."
Так большая тройка давно на этом бизнес делает. Есть сервисы, которые совершенно легально сливают все звонки на целевые номера.
MrSmitix
Да, такое действительно есть. Но там ведь немного другая система. Вы делаете автоматические СМС рассылки, которые ещё и приходят через день, а не получаете номер напрямую для звонка. По крайней мере я видел только такие варианты
yard Автор
дают напрямую номер.
PatakinVVV
Есть ощущение, что не хватает пруфов и конкретных экспериментов в статье, но автор, возможно, просто не стал проводить эти эксперименты, чтобы не попасть под статью о неправомерном доступе к информации. Он обозначил вектор атаки, а проверять его на себе - уже дело рискованное