- Регистрация
- 27 Апр 2025
- Сообщения
- 51
- Реакции
- 0
- Баллы
- 6
Когда ваш старый номер телефона начинает жить своей жизнью: цифровой эксперимент с неожиданными результатами
Вам когда-нибудь приходилось видеть, как в соцсетях под знакомым именем вдруг появляется совершенно чужое лицо? Или вы оказывались в групповом чате, где незнакомцы обсуждают выезд на рыбалку или чей-то день рождения? Всё это может быть не случайностью, а следствием того, что ваш прежний номер телефона оказался у нового владельца.
Чтобы проверить, насколько серьёзной может быть такая ситуация, мы провели эксперимент. Его цель — понять, действительно ли у человека, получившего "чужую" SIM-карту, появляется возможность получить доступ к онлайн-сервисам бывшего владельца. А если да — то насколько это просто.
С чего всё началось
Мы начали с составления списка популярных российских сервисов — всего их оказалось 80. Из них 56 поддерживали вход по номеру телефона и одноразовому коду из SMS. Часть требовала предварительного ввода пароля, но позволяла его сбросить через тот же SMS. Чтобы сосредоточиться на основном, мы исключили приложения без веб-версии и личные кабинеты самих операторов связи.
В результате остались 38 сервисов, которые мы разделили на 9 групп. Чаще всего попадались:
личные кабинеты компаний — 24%,
интернет-магазины и аптеки — 16%,
доставка еды и продуктов — 16%,
и сервисы с единым входом (SSO) — 10%.
SIM-карты: легальные, полулегальные и виртуальные
Чтобы эксперимент был приближен к реальности, мы закупили 100 номеров у пяти крупнейших операторов. Из них:
30 номеров куплены в обычных салонах (официально);
50 — через Telegram (номера без документов);
и ещё 20 мы планировали арендовать через онлайн-сервисы, но удалось получить лишь 15.
В сумме — 95 уникальных номеров, каждый из которых мы протестировали по всем сервисам.
Что помогло автоматизировать процесс
Интересно, что 12 из 38 сервисов содержали уязвимость типа User Enumeration. Это означало, что мы могли без труда определить, зарегистрирован ли номер в системе — ещё до авторизации. Такой подход позволил сэкономить массу времени и минимизировать ручные действия.
Что мы обнаружили
Результаты оказались неожиданно показательными. Почти половина номеров (43%) ранее уже использовалась для регистрации в сервисах. А в 37% случаев нам удалось найти активный, незаблокированный аккаунт предыдущего владельца. То есть, в каждом третьем случае номер буквально открывал дверь в чью-то цифровую жизнь.
У 6% номеров аккаунты были заблокированы, но это не означало, что они недоступны для анализа или попыток восстановления.
Зависимость от операторов
Не все операторы реагировали одинаково. У двух компаний процент успешных попыток авторизации был значительно выше. А один оператор блокировал подозрительную активность так быстро, что из 18 номеров у нас сработал только один.
Что из этого следует
Кажется, что просто поменять номер — дело житейское. Но в цифровом мире всё сложнее. Когда вы теряете номер — например, забываете продлить тариф, уезжаете за границу или меняете SIM-карту — он может быть выдан кому-то другому. А если при этом остались старые привязки к сервисам — новый владелец сможет попасть в ваши аккаунты, часто без особых усилий.
Почему это важно
Для большинства людей номер телефона — это ключ: к мессенджерам, интернет-банкингу, магазинам, госуслугам. И если этот ключ окажется в чужих руках — утечка данных становится делом времени.
Что можно сделать:
— Пользователям стоит заранее отвязывать старые номера от аккаунтов и использовать приложения 2FA вместо SMS.
— Разработчикам стоит ограничить авторизацию по SMS и защититься от уязвимостей, которые позволяют «угадывать», есть ли номер в системе.
— Операторам — внедрить уведомления о предстоящей деактивации номеров и упростить восстановление доступа.
Вам когда-нибудь приходилось видеть, как в соцсетях под знакомым именем вдруг появляется совершенно чужое лицо? Или вы оказывались в групповом чате, где незнакомцы обсуждают выезд на рыбалку или чей-то день рождения? Всё это может быть не случайностью, а следствием того, что ваш прежний номер телефона оказался у нового владельца.
Чтобы проверить, насколько серьёзной может быть такая ситуация, мы провели эксперимент. Его цель — понять, действительно ли у человека, получившего "чужую" SIM-карту, появляется возможность получить доступ к онлайн-сервисам бывшего владельца. А если да — то насколько это просто.
С чего всё началось
Мы начали с составления списка популярных российских сервисов — всего их оказалось 80. Из них 56 поддерживали вход по номеру телефона и одноразовому коду из SMS. Часть требовала предварительного ввода пароля, но позволяла его сбросить через тот же SMS. Чтобы сосредоточиться на основном, мы исключили приложения без веб-версии и личные кабинеты самих операторов связи.
В результате остались 38 сервисов, которые мы разделили на 9 групп. Чаще всего попадались:
личные кабинеты компаний — 24%,
интернет-магазины и аптеки — 16%,
доставка еды и продуктов — 16%,
и сервисы с единым входом (SSO) — 10%.
SIM-карты: легальные, полулегальные и виртуальные
Чтобы эксперимент был приближен к реальности, мы закупили 100 номеров у пяти крупнейших операторов. Из них:
30 номеров куплены в обычных салонах (официально);
50 — через Telegram (номера без документов);
и ещё 20 мы планировали арендовать через онлайн-сервисы, но удалось получить лишь 15.
В сумме — 95 уникальных номеров, каждый из которых мы протестировали по всем сервисам.
Что помогло автоматизировать процесс
Интересно, что 12 из 38 сервисов содержали уязвимость типа User Enumeration. Это означало, что мы могли без труда определить, зарегистрирован ли номер в системе — ещё до авторизации. Такой подход позволил сэкономить массу времени и минимизировать ручные действия.
Что мы обнаружили
Результаты оказались неожиданно показательными. Почти половина номеров (43%) ранее уже использовалась для регистрации в сервисах. А в 37% случаев нам удалось найти активный, незаблокированный аккаунт предыдущего владельца. То есть, в каждом третьем случае номер буквально открывал дверь в чью-то цифровую жизнь.
У 6% номеров аккаунты были заблокированы, но это не означало, что они недоступны для анализа или попыток восстановления.
Зависимость от операторов
Не все операторы реагировали одинаково. У двух компаний процент успешных попыток авторизации был значительно выше. А один оператор блокировал подозрительную активность так быстро, что из 18 номеров у нас сработал только один.
Что из этого следует
Кажется, что просто поменять номер — дело житейское. Но в цифровом мире всё сложнее. Когда вы теряете номер — например, забываете продлить тариф, уезжаете за границу или меняете SIM-карту — он может быть выдан кому-то другому. А если при этом остались старые привязки к сервисам — новый владелец сможет попасть в ваши аккаунты, часто без особых усилий.
Почему это важно
Для большинства людей номер телефона — это ключ: к мессенджерам, интернет-банкингу, магазинам, госуслугам. И если этот ключ окажется в чужих руках — утечка данных становится делом времени.
Что можно сделать:
— Пользователям стоит заранее отвязывать старые номера от аккаунтов и использовать приложения 2FA вместо SMS.
— Разработчикам стоит ограничить авторизацию по SMS и защититься от уязвимостей, которые позволяют «угадывать», есть ли номер в системе.
— Операторам — внедрить уведомления о предстоящей деактивации номеров и упростить восстановление доступа.