?

Log in

No account? Create an account
Безопасность SMS-авторизации и данных - Хроника затяжного прыжка [entries|archive|friends|userinfo]
maxtar

[ website | My Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Безопасность SMS-авторизации и данных [Feb. 11th, 2012|04:29 pm]
maxtar
[Tags|, ]

Постоянно пользуюсь SMS-авторизацией платежей в АльфаКлике. До сегодняшнего дня всё проходило успешно, но сегодня после ввода платежа и кода из СМС-сообщения пришлось полюбоваться на вот такое сообщение:
Вы не можете выполнить операцию. Одна из возможных причин - смена SIM-карты мобильного телефона, указанного при подключении "Альфа-Клик". В случае если Вы действительно сменили SIM-карту, просим Вас обратиться в телефонный центр Альфа-Консультант или в любое отделение банка и сообщить нам об этом.


Позвонил в поддержку, прождал минут 15, ответил на массу вопросов и дождался некого "внесения изменений", после чего платежи пошли.

По результатам задумался. SIM-карту я менял еще в 2010 году, весь 2011 и январь 2012 года - пользовался интернет-банкингом без проблем. Предполагаю, что проверка включилась по достижению остатка на счете некой пороговой суммы. Но откуда эта, в принципе конфиденциальная информация, может быть известна банку?

Яндесинг и гуглинг дали ответ. Уникальный номер вшитый в SIM-карты (IMSI) оказывается можно получать с помощью коммерческих гейтов SMSC через запрос к HLR. В ответ прийдет много интересного:

  • Статус абонента в данный момент - существует или нет, влючен или заблокирован.

  • Номер IMSI абонента.

  • Страна и оператор роуминга (если абонент в роуминге).



Забавно, не знал. Может уже есть возможность через технические SMS получить местоположение абонента?
LinkReply

Comments:
[User Picture]From: dru4
2012-02-11 01:42 pm (UTC)
а я свалил в итоге с альфы
(Reply) (Thread)
[User Picture]From: rosario_aggro
2012-02-11 11:13 pm (UTC)
Да, можно получить. Не разбираюсь в it-шных делах, но буквально пару дней назад видел репортаж по тв - мобильние операторы предоставляют корпоративным клиентам возможность узнавать местонахождение сотрудника, пользующегося корп. связью. Данные поступают как раз через такие технические невидимые смс.
(Reply) (Thread)
[User Picture]From: maxtar
2012-02-12 07:55 am (UTC)
В случае подобных "семейных" и "корпоративных" услуг согласие на предоставление LBS услуг дает сам владелец номера, т.е. кто платит - родитель или корпорация. Другое дело, что интересна возможность получить ту-же информацию без согласия владельца.

Например информация о том, где я в роуминге - может быть и весьма конфиденциальной.
(Reply) (Parent) (Thread)
[User Picture]From: rosario_aggro
2012-02-12 11:38 am (UTC)
Главное есть техническая возможность, а нужные концы найти это всегда дело желания:)
В конце концов сотрудники в выходные дни тоже "не при исполнении", однако место положения регистрируется.
(Reply) (Parent) (Thread)
From: drahman
2012-02-15 04:27 pm (UTC)
АБ с полгода как договорился со всеми тремя операторами "большой тройке", о предоставлении расширенных данных - и вот результат.
Кроме них вроде никто не договорился.
(Reply) (Thread)
[User Picture]From: maxtar
2012-02-15 05:17 pm (UTC)
Дык и договариваться ни с кем не надо.
http://yandex.ru/yandsearch?text=HLR+%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81&from=os&lr=213
(Reply) (Parent) (Thread)