Возможный сценарий мошенничества с Yota

Сегодня я, сам того не зная, провернул мелкую финансовую махинацию и попал в не очень приятную ситуацию. Но обо всём по порядку.

Постановка

Вам понадобится:

— Наличие аккаунта на yota.ru ^[1] (т.е. вы должны были пользоваться их услугами ранее и обладаете своим собственным девайсом)
— Знание ключа безопасности чужой беспроводной сети от Yota, в которой вы находитесь в данный момент

Последовательность действий

Находясь в чужой сети заходим на страницу авторизации ^[2]. Если вы не были авторизованы ранее — в поле «Имя пользователя» тут же отдаётся email лица, к счёту которого привязан расположенный неподалёку девайс (в моём случае это был Gemtek LTE). Сходу я не придал этому значения, но дело в том, что я, сколько себя помню, всегда отключаю любое автозаполнение и запоминание паролей в своих браузерах. Следовательно адрес «предоставляется» текущим девайсом. Юзабилити.

Авторизуемся со своими данными — текущий девайс сразу же привязывается к вашему аккаунту. Заходим на вкладку «Yota 4G», находим в подросшем списке теперь уже наше новое устройство, которым мы можем управлять в той же мере, что и предыдущий владелец. В частности, мы можем управлять текущими условиями доступа в интернет с данного устройства (тарифом).

Возможные последствия и профит

Не подозревая обо всех этих особенностях и находясь в чужом офисе мне было необходимо сменить тариф для своего девайса на бесплатный супермедленный инет с подневной разовой оплатой, т.е. по сути отключить его. Ползунок тарифа был сдвинут на 0, операция подтверждена без прочтения подробностей и инет в офисе, где я гостил, пропадает. Все пользователи перенаправляются на страницу Yota с призывом привязать устройство или завести аккаунт.

Далее самое интересное. Пока я разговаривал с техподдержкой Yota и постигал их технические тонкости, о которых они давно «осведомлены» — мне пришло sms-оповещение о том, что на мой счёт были зачислены средства. Кто-то из нетерпеливых и неосведомлённых сотрудников пополнил мой счёт со своей банковской карты!

К сожалению, самый интересный вопрос остался для меня загадкой — восстановить произведённый сотрудником workflow и понять как технически могла произойти такая операция у меня не было возможности (нужно было быстро устранить последствия своих действий, и заниматься расследованием было некогда).

Так же на мой email-адрес пришло сообщение от ChronoPay с деталями вышеупомянутой транзакции — именем владельца карты, её неполным номером, номером клиента (в системе ChronoPay?). Такие дела.

Заключение

Подопытный Gemtek LTE был привязан обратно к счёту своего законного владельца.
Убытки пострадавшей компании были возмещены в оффлайне.

Однако не могу сказать, что обошлось без жертв — мои наличные теперь представлены в виде баланса на моём счёте Yota, а мне ведь ещё платить за прививки кошке.

Надеюсь, компания Yota обратит внимание на это небольшое происшествие.

Автор: jibiel

Источник ^[3]