Yota — или как можно узнать всё

в 14:55, , рубрики: Yota, безопасность данных, информационная безопасность

Все действия в данной статье выполнены в ознакомительных целях. Все персонажи произведения являются вымышленными, любое совпадение с реальными людьми — случайно.

Введение

Все началось с того что я прочитал данные статьи про Мегафон.

  1. Как Мегафон спалился на мобильных подписках
  2. «Мобильный контент» бесплатно, без смс и регистраций. Подробности мошенничества от Мегафона

Я был абонентом данной компании на протяжении 12-ти лет, я никогда лично не ловил данные приколы и прочитанное мной привело меня к тому состоянию что я решил сменить оператора.

Мой выбор был не велик (МТС, Билайн, Теле2), но я понял что данные компании промышляют ровно тем же что и выше упомянутая компания. И тут меня осенило что есть компания и название ей Yota.

Но вы скажете ведь Yota принадлежит Мегафону и отвечу, да начнется замкнутый круг.
Все было хорошо, пришел, купил сим-карту начал пользоваться.

Все то ради чего мы тут

Мне нужно было изменить номер телефона в личном кабинете «Почты России»
И я столкнулся с проблемой что данный номер (приобретенный в Yota) уже занят.

image

У меня возник вопрос — а почему так? И вспомнил что у Yot-ы можно очень легко поменять номер телефона прямо в приложении. И может бывший обладатель моего номера просто напросто забыл «отвязать» его.

Скриншот из приложения Yota

image

И меня подцепило любопытство к плохим ознакомительным действиям, а смогу ли я зайти в аккаунт человека у которого был привязан данный номер телефона.

И я с легкостью получил код подтверждения и смог ввести новый пароль.

Код подтверждения Почта Россия

image

При входе в личный кабинет мы видим данную «персональную информацию»

image

И тут мы можем понять что «хромает» все, когда вы меняете номер телефона и забыли про какую-то там почту, кто-то может с легкостью получить вашу «персональную информацию»

На данных действиях я не остановился и продолжил искать

Я решил просто вбить данный номер телефона в поисковую систему «Найдется все»

image

И мы видим страницу бывшего пользователя моего номера.

Сама ссылка мне выдает 404 ошибку

image

Я с легкостью нашел страницу человека через выданный мне город, теперь мы знаем «персональные данные», страницу в ВКонтакте и Steam-аккаунт данного человека.

Что плохой человек смог бы сделать с данной информацией?
Варианты ответов я предоставлю вам.

А мы продолжим, все знают о портале Госуслугах? Да, это именно то о чем вы подумали.
Мы с помощью моего номера телефона и данных который мне вежливо предоставил личный кабинет Почты России, попробуем восстановить доступ к порталу.

Путем ввода номера телефона и паспортных данных, я легко смог восстановить доступ к данному порталу.

И что мы видим? Мы видим все важнейшие документы данного человека.

image

А так же номер мой номер телефона(+ почта данного человека)

image

Так как мы теперь знаем почту данного человека я решил посмотреть а привязан ли мой номер телефона к ней (спойлер: да).

Код потверждения почты

image

И вот у нас уже есть почта!

Насколько мы знаем если у нас есть Почта России, то владеем всем что к ней привязано, я увидел что почта привязана к следующим аккаунтам: Blizzard, Google, ВКонтакте, AliExpress, GOG.

image
the end.

Вывод

Прежде чем менять номер телефона, убедитесь что вы отвязали все что только можно.

Я даже не могу представить что бы было, если бы данная информация попала к злоумышленникам или людям которые знают больше меня что делать с данной информацией.

Кто тут виноват? Сложно сказать, давайте делиться мнением.
И как бы поступили вы в данной ситуации?

P.S. Прошу прощения за все огрехи, орфографические ошибки. Моя первая статья не судите строго.

Автор: itm11

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js