Niebezpiecznik.pl opisuje przypadek, który każe wątpić w procedury bezpieczeństwa stosowane przez T-Mobile Polska. Mowa jest tam o uzyskaniu duplikatu karty SIM ze swoim numerem telefonu w magentowej sieci. Jak się okazuje, wiedza potrzebna do tego, by w ten sposób przejąć numer należący do kogoś innego, jest bardzo mała. Wystarczy znać PESEL ofiary!
Jeden z czytelników Niebezpiecznika jakiś czas temu chciał sobie wyrobić duplikat karty SIM (numer na kartę) i skontaktował się z obsługą T-Mobile, by uzyskać informacje, jak tego dokonać bez wizyty w magentowym salonie. Konsultant T-Mobile napisał na czacie, że wystarczy kupić starter T-Mobile, zadzwonić na infolinię i podać PESEL oraz adres, a także - oczywiście - numer nowej karty SIM. Wychodzi na to, że dla T-Mobile PESEL jest informacją tajną, której nikt, poza osobą, do której jest przypisany, nie może znać.
Eksperyment Niebezpiecznika
Aby przekonać się osobiście, jak to w T-Mobile wygląda, redaktor Niebezpiecznika zakupił dwa startery w T-Mobile i jeden z nich zarejestrował podczas wizyty w salonie. Tam został poproszony między innymi o podanie numeru kontaktowego (podano inny niż rejestrowany) oraz 8-cyfrowego hasła, które miało być wykorzystywane do czynności związanych z kartą. Gdyby T-Mobile pytał o to hasło podczas próby uzyskania duplikatu karty SIM, nie byłoby problemu. Jednak tak się nie stało.
Gdy redaktor Niebezpiecznika zadzwonił na infolinię T-Mobile (z jeszcze innego numeru) i chciał przerobić drugą z kupionych kart SIM na duplikat tej pierwszej, konsultant poprosił go o imię, nazwisko, PESEL oraz numer nowego startera. I to wszystko! Żadnego hasła czy innych "tajnych" danych. Ponieważ przez 3 dni nic się nie stało, zadzwonił jeszcze raz na magentową infolinię. Tym razem, po podaniu kodu PUK nowej karty SIM oraz odczekaniu około 5 minut, duplikat zarejestrowanej karty SIM był gotowy.
Teraz pomyślcie: gdyby to zrobił przestępca z numerem telefonu swojej ofiary, mógłby teraz buszować na przykład po jego koncie bankowym i kto wie, gdzie jeszcze...
T-Mobile nie widzi problemu!
Niebezpiecznik wysłał listę pytań do T-Mobile:
1. Czy zdaniem T–Mobile procedura podmiany karty SIM bazująca jedynie na sprawdzeniu numeru PESEL nie jest ryzykowna?
2. Czy T–Mobile ma zamiar zweryfikować i poprawić swoje procedury w tym zakresie?
3. Czy T–Mobile posiada jakiekolwiek analizy lub statystyki dotyczące ewentualnych złośliwych wyłudzeń kart SIM? Jeśli tak, to jak często takie problemy są zgłaszane?
Odpowiedź magentowego operatora daje sporo do myślenia:
Szanowny Panie Redaktorze,
dziękujemy bardzo za wiadomość. Prośba o wydanie duplikatu karty SIM jest bardzo często następstwem utraty telefonu, gdy bardzo często nagle tracimy kontakt z najbliższymi, nie mamy dostępu do przechowywanych w domu dokumentów i odzyskanie karty i numeru jest wtedy priorytetem. Nasze procedury starają się uwzględniać potrzebę szybkiego uzyskania karty z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. Nasze dotychczasowe doświadczenia wskazują, że obecna procedura spełnia te założenia. Niezależnie od obowiązujących w danym momencie w naszej sieci procedur, obserwujemy praktyki rynkowe, wdrażamy nowe rozwiązania, ale również słuchamy głosu naszych Klientów, tak aby zapewnić im najwyższy komfort oraz bezpieczeństwo. Przyjrzymy się jeszcze raz temu procesowi z intencją wprowadzenia głębszej weryfikacji Klienta nie utrudniając mu jednak szybkiego odzyskania numeru.
Pozdrawiamy
Biuro Prasowe T-Mobile
Okazuje się, że szybkość załatwienia duplikatu karty SIM i komfort klienta są ważniejsze od bezpieczeństwa!
A co z abonamentem?
Opisane powyżej zdarzenie dotyczyło wyrobienia duplikatu karty SIM z numerem na kartę. A jak to wygląda w przypadku abonamentu? Tu podobno jest trudniej, ponieważ wymiana karty SIM nie jest realizowana zdalnie. Właściciel numeru musi się osobiście pofatygować do salonu T-Mobile. Jak jednak napisał inny czytelnik Niebiezpiecznika, udało mu się wyrobić duplikat karty SIM w abonamencie bez obecności w salonie. W tym przypadku weryfikacja abonenta nastąpiła przez PESEL, a nowa karta SIM została wysłana na podany adres, nawet nie ten z umowy.
Ze swojej strony wysłaliśmy ostatnio pytanie do biura prasowego T-Mobile o procedury, które magentowy operator stosuje podczas wymiany karty SIM oraz jak się zabezpiecza przed jej trafieniem w niepowołane ręce. Podobne pytanie zadaliśmy również pozostałym operatorom z "Wielkiej Czwórki". Wkrótce opublikujemy artykuł na ten temat.
Źródło: telepolis.pl
Szkoda, że dopiero gdy klienci zaczęli naciskać, że ich numery nie są bezpieczne, a nie w momencie gdy niebezpiecznik próbował to wyjaśnić z operatorem przed publikacją.
