Привет.
Мне всегда было интересно, кто главный в отношениях между покупателем и продавцом. Тот, кто продает услугу, или тот, кто приобретает? Практический опыт показывает, что помимо потребительского терроризма существует и системный подход продавцов, которые считают виноватым во всем своего покупателя. Джентльменам принято верить на слово, а значит, никаких доказательств приводить не стоит. Способствует такому подходу то, что единицы пытаются добиться правды в оговоренном законом подходе, например, обращаясь в суды. Это время, деньги, потраченные нервы и для многих непривычная история. Поэтому такой подход продолжает не только жить, но и цвести.
Перед вами история нашего читателя Романа Болтова, с которой он столкнулся в «Теле2». Роман максимально подробно изложил свою историю, ответа от «Теле2», который бы объяснял произошедшее, он так и не получил. Давайте прочитаем письмо Романа.
Эльдар и вся команда mobile-review, здравствуйте.
Пытаюсь начать с холодной головы, но тяжело – эмоции кипят.
Больше 20 лет я являюсь абонентом Tele2 (в разные годы это были разные сотовые операторы, пока цепочка приобретений не консолидировала сеть под этой маркой) в Красноярском крае. Всё это время я не искал приключений и не занимался сравнением тарифов операторов под лупой – качество связи меня устраивает, с покрытием всё хорошо, да и в психологические 250 руб/мес мне вполне удается вкладываться. Нахожусь на тарифе «Мой разговор», за эти деньги безлимит на домашнюю сеть, 250 минут на других мобильных операторов, 7 Гб интернета – мне вполне хватает, жаловаться не на что. Кроме того, рабочая связь на второй сим-карте, там Билайн, и работодатель не устанавливает ограничений ни по звонкам, ни по трафику. Стоит ли говорить, что полгода назад настроил передачу данных на рабочей сим-карте, а переключаюсь на личную обычно тогда, когда уровень сигнала снижается (обычно в торговых центрах).
Стоит ли говорить, что за это время остатки, которые (спасибо тарифам Tele2) не сгорают, начали «пухнуть» и я с удовлетворением поглядывал за тем, что у меня скопилось 30 Гб и почти 1500 минут. Я в уме проигрывал различные сценарии возможного использования такой «копилочки» — на даче или в отпуске она бы очень пригодилась. Но кто-то решил распорядиться по-другому.
18 июля я находился на природе с семьёй, в красивейших местах, моя супруга фотографировала детей и виды, периодически рассылая фото в мессенджеры и делясь историями в Instagram. И тут она говорит: «а что же я такого делала, что у меня резко сгорел весь трафик?» Тут нужно уточнить, что и супруга моя, и дети, и родители – все являются абонентами Tele2, и я для контроля и удобства сделал свой номер управляющим, а их номера управляемыми, и организовал в личном кабинете оператора единый пул номеров, где следил за балансом и остатками, и вовремя пополнял баланс – опять же с целью накопления несгораемых остатков.
После фразы моей супруги открываю приложение Tele2, и в итоге: у супруги нет интернета вообще, у меня из 30 Гб осталось 4 Гб, у родителей из остатков по 12-14 Гб на балансах числится по 1-2 Гб. Первая мысль: да ладно, это биллинг что-то напутал. Звоню в абонентскую службу 611, ответ: «с биллингом в порядке». Задаю вопрос: «а что же могло случиться с остатками интернета у всех членов группы без исключения?» Ответ: «заказывайте детализацию». Что же, сказано – сделано. В детализации по своему номеру вижу, что за 3 дня до этих событий, 15 и 16 июля с моего номера широкими мазками, да ещё и в основном в ночное время было совершено 5 переводов (в разные регионы на незнакомые мне номера) на круглые цифры трафика (по 5 и 6 Гб) на общий объём 26 Гб. Думаю: «да ладно, это же какая-то ошибка». Еще раз звоню в абонентскую службу 611, интересуюсь произошедшим, получаю ответ: «да, были совершены переводы трафика, это может сделать абонент или любое другое лицо, которое имеет доступ к устройству или личному кабинету». Доступ к устройству, само собой, я ни с кем не разделяю, доступ к личному кабинету только по смс, все правила цифровой гигиены я знаю назубок и соблюдаю неукоснительно, в том числе читая ваши материалы. Дальнейшие звонки в абонентскую службу показали мне удивительно однообразные скрипты, целью которых является одно – подытожить, что за все действия с балансом и остатками несёт исключительно абонент.
В голове складывается предположение, что меня взломали. Оно подкрепляется слабым ощущением, что взлом, то есть получение доступа к остаткам, происходит на стороне оператора. Супруга заказывает детализацию по счёту – ситуация аналогичная: за несколько дней до этого события она также «перевела» 5 Гб трафика в другой регион.
И так произошло со всеми номерами моей группы! Срочно разъединяю всю группу, отвязываю их от своего номера, так как на ум приходит только одно: все пострадали, возможно, из-за общей привязки, будучи управляемыми с моего номера.
Поняв, что ресурс телефонного общения с оператором себя исчерпал, перехожу на публичную площадку: сообщество «Tele2 Россия» Вконтакте. Обрисовываю в общих чертах ситуацию в открытом обсуждении, после чего поддержка оператора сводит разговор в личку. Наверное, это правильно – в открытом сообществе нет смысла разбрасываться деталями, в том числе и техническими. С другой стороны, возможные неприятности таким образом сразу «заметаются под коврик», и реноме оператора от этого только выигрывает.
В разговоре со службой поддержки Вконтакте всё свелось к рекомендациям отключить доступ к личному кабинету в том числе себе самому и обеспечить полную безопасность, так как только абонент, и никто иной, может распоряжаться остатками.
Не могу отделаться от мысли, что здесь явно какой-то «схематоз», кто-то имеет доступ к моему аккаунту, и распорядившись трафиком вчера, сегодня и завтра он начнёт распоряжаться минутами, а потом и средствами на лицевом счете, переводя их по своему усмотрению.
В качестве итога я хотел бы, чтобы команда ресурса mobile-review описала мою ситуацию, и, располагая опытом, дала свои предположения и оценку ситуации, в которой я оказался. Почти уверен, что трафик уже не вернуть, но теперь также сомневаюсь, что оператор чист на руку и заинтересован в безопасности своих абонентов.
Ваш читатель, Роман Болтов.
Давайте посмотрим, как выглядела переписка Романа со службой поддержки «Теле2».
Мне неизвестна схема, с помощью которой могли бы так увести пакеты ГБ со счета абонента, но это не значит, что такой схемы не может существовать. То, что перевод осуществлялся ночью, уже говорит о том, что данные операции как минимум подозрительны. И это требует детального расследования со стороны оператора, так как история может иметь вовсе не единичное измерение, быть распространенной.
Для меня Роман выглядит как лояльный пользователь оператора, который столкнулся с проблемой. Примерьте на себя эту историю – вы лояльны, любите своего оператора и не знаете никаких проблем, никак не общаетесь с сотрудниками компании. Возникает проблема, и тут впервые выясняется, что ваша приязнь далеко не взаимна, вам отвечают в стилистике «сам дурак». Такое возможно в разных компаниях, это системный подход, который упрощает общение с абонентами, делает его проще для оператора и снимает всякую необходимость предпринимать дальнейшие шаги. Пожалуй, это совсем не то, чего мы ждем от оператора, и наша вера в него после такого точно пошатнется.
У «Теле2» точно есть дырки в биллинге и в том, кто и как подключает услуги, дополнительные скидки на номера. Рискну предположить, что это могут быть сами сотрудники оператора, которые создают свой небольшой бизнес на услугах для обычных людей. Все операторы стараются бороться с подобным, мы недавно рассматривали в деталях такую историю.
Мне не нравится то, что абонент всегда виноват по умолчанию и не может получить объяснений. При оказании той или иной услуги нужно обосновать, что она была оказана, утверждения, что это могли сделать только вы и никто другой, явно недостаточно. Роман не пользовался услугами сторонних прохиндеев, дающих дополнительные скидки на связь, причем таких в «Теле2» существуют десятки, если не сотни по всей стране, и с ними оператор не борется. Во всяком случае, их социальные сети существуют долго и они подключают дополнительные скидки на номера. Минус в том, что теперь нужно отдавать доступ к своему кабинету, как результат, вы можете потерять все свои данные и даже деньги.
Мне претит ситуация, в которой абонент по умолчанию неправ, а все регулируется только словом оператора, которому нужно верить. Ответьте на простой вопрос нашего опроса: вы готовы верить своему оператору на слово?
*Обновление от 24.07.2021
По итогам публикации «Теле2» стал разбираться в ситуации, комментарий Романа:
Эльдар, команда mobile-review, после публикации статьи на меня стали выходить представители Tele2 с вопросами:
— А что же всё-таки такое произошло?
— А давайте мы поразбираемся отдельно и дополнительно?Что же, запасаемся поп-корном, посмотрим, куда вырулит ситуация.
Пока предварительно выводы можем сделать такие:
1. C трибуной mobile-review считаются, и это заслуга редакции, её многолетнего непрерывного труда.
2. CRM оператора решил оценить возможные репутационные потери и думает, в какую сторону развернуть процесс:
— либо действительно непредвзято разобраться, уверен, у них есть на то все инструменты;
— либо найти убедительные доводы, которые покажут, что абонент был не в себе, и поставить на этом точку, чтобы не вскрывать масштаб имеющихся проблем.
Чуть позже появился такой комментарий:
Оператор вернул по 20 Gb на все 4 пострадавших номера. Нерелевантно объемам потерь на каждом из них, но в общей массе примерно соответствует тому трафику, который угнали со всех номеров. Пакеты интернета предоставлены со сроком сгорания в 30 дней. Так что полезности от этой компенсации мало. Дополнительно оператор сообщил о возможности предоставления разовой скидки на 1 месяц в 50% (125 рублей от стоимости тарифа в 250 руб.) — шажок в сторону абонента. Причем в разговоре с представителями оператора я понял, что сейчас Tele2 важно потушить пожар, а разбираться будут позже — понимания, почему такая дыра возникла, получается, нет ни у одной стороны конфликта. Общение закончилось обещанием «мы проведём всеобъемлющее расследование случая», но никто не обещал обнародовать результаты, так что, возможно, этот ящик так и останется чёрным.
От редакции. Книга жалоб хорошо работает, компании реагируют на проблемы и стараются их исправить. «Теле2» молодцы, что стали разбираться в этой ситуации, а не спустили все на тормозах.
*Обновление от 01.08.2021
Эльдар, история с Tele2 получила своё логическое завершение.
Представители IT-блока оператора вышли на меня и уделили мне 20 минут для подробного разбора и ответов на мои вопросы. Они действительно занимаются расследованием возможных новых схем несанкционированного доступа к личным кабинетам клиентов, и пояснили, что в нашем случае никакой новой схемы не было.
А случай с пропажей трафика не единичный, просто не все кричат об этом.
По мотивам беседы могу сказать следующее:
Мой личный кабинет был открыт извне методом credential stuffing — использованием когда-то утекших данных в виде пары логин-пароль с одних ресурсов для подстановки этой пары на других ресурсах.
Согласно предоставленной информации от оператора данные по моему аккаунту утекли с linkedin.com и qip.ru.
Оценка ситуации с моей стороны: не помню, с какого времени, но уже достаточно давно, что-то около 5 лет, авторизация в личном кабинете Tele2 начинается как в мобильном приложении, так и на сайте оператора с диалогового окна, где требуется ввести свой номер.
Следом за этим приходит смс с кодом доступа. И только после этого становится доступной ссылка «вход по паролю”.
Зато очень хорошо помню, что ранее логика входа была другой. Пользователь имел возможность выбора – смс-авторизацией воспользоваться или парой логин-пароль.
Тогда действительно, доступ к кабинету был возможен без лишнего шума в виде смс на телефон владельца.
Но сейчас, авторизация на текущий момент без получения смс невозможна. Другой вопрос, используется ли это смс или нет.
В жизни каждого, наверное, были случаи, когда нежданно-негаданно приходит авторизационная смс, которую ты не запрашивал. Это всегда повод насторожиться и проверить свои учетные данные. В моём случае никаких авторизационных смс от Tele2 не приходило.
Это сбивает с толку. IT-блок пояснил отдельно, что обратной совместимости никто не отменял: во-первых, у многих абонентов используются старые версии мобильных приложений, где остаются возможности авторизации сразу с пароля. Во-вторых, оператор намекнул на то, что внутри него самого имеются возможности попадать в личный кабинет клиентов, используя постоянный пароль, также без смс. Понятное дело, что пароль хранится в виде хеша, но сама возможность, используя тот же credential stuffing, остается.
Поэтому пути попадания в личный кабинет по старой схеме многообразны, и не все они были описаны в разговоре.
Мой вопрос оператору: почему абонент не имеет возможности отказаться от парольного входа в принципе, и перейти либо на авторизацию только по смс, либо на MFA-авторизацию?
Ответ: большое количество sim-карт используется в таких устройствах, как ворота, или автомобильные сигнализации и в прочих труднодоступных местах, где доступ к sim-карте настолько сложен, что прочитать с неё смс невозможно в обычных сценариях использования. Поэтому авторизация по паролю, если абонент не воспользуется авторизационным смс — будет сохранена.
Таким образом, IT-порталы, банки: абсолютное большинство сервисов предлагает MFA, но оператор не может использовать такой механизм.
Это, кстати, ещё хороший вопрос. Существуют способы MFA-авторизации вообще без смс — с помощью дополнительного подтверждения пары логин-пароль через те же Microsoft Authentificator или Google Authentificator.
Может ли оператор, используя уже известные способы защищённой аутентификации, отказаться от архаичной системы, которая дискредитировала себя давно? Это, наверное, предмет сравнения с технологиями, которые применяют другие операторы. Я не копался в этой области, но, наверняка, это довольно интересная тема. Очень было бы интересно агрегировать имеющийся опыт.
В итоге: заявлять, что ты знаком с цифровой гигиеной, и на деле соответствовать её правилам — это, как говорится, две большие разницы. Получается, часть проблем обеспечил себе я сам, и в этом надо признаться открыто. Естественно, что я сменил постоянный пароль (которым не пользуюсь очень давно, а если бы пользовался, то мысль сделать это пришла бы мне гораздо заранее до таких событий). Очень жаль, что невозможно от него отказаться в принципе. Каким бы надежным он ни был, всегда существует проблема, которая зашита в самом факте однофакторной аутентификации.
Честно говоря, в 2021 году не вспомню других ресурсов с доступом к ним просто по логину и паролю, где хранится что-то большее, чем имя и фамилия: денежные средства, различные активы, данные банковских карт и так далее.
Если эта тема Вам интересна, можно дополнить статью.
Или в каком-то из будущих редакционных материалов рассмотреть действующие механизмы доступа к личным кабинетам операторов в сравнении — будет очень интересно и полезно. Знаю, что Вы много пишете о цифровой безопасности, но на этом поле ещё пахать и пахать, так что актуальной эта тема будет ещё очень долго.
Спасибо.
Роман Болтов
P.S. Если у вас есть интересные истории о проблемах, с которыми вы сталкиваетесь в рознице, у операторов, то присылайте, будем вместе разбираться, почему все происходит именно так.
В точности такая же ситуация, как у Романа: 13.08.2021 (в начале расчётного периода) из ЛК теле2 с моего номера перевели 30Gb на неизвестный номер Ленинградской области, оставив 12Gb. 19.09.2021 20Gb на неизвестный номер Свердловской области, оставив 12Gb и с привязанного номера 5Gb на неизвестный номер, оставив 1.5Gb. Минуты и деньги на счёте (1500руб.) не тронули. Пароль к ЛК поменял между этими переводами. Переписка со службой поддержки ни к чему не привела. + с 08.2021 начали списывать из пакета за "безлимитный" whatsapp. Если оператор так намекает на смену тарифа (раньше резали скорость практически до 0), то такой "намёк" мне не очень понятен. Решил сменить оператора (хамство и воровство есть у всех, периодами). Исхожу из выбора: не нравится 5ка, идём в Перекрёсток.)