W T‑Mobile PESEL wystarczy do przejęcia dowolnego numeru telefonu
Będąc w posiadaniu numeru PESEL konkretnej osoby możliwe jest wykonanie duplikatu karty SIM, poprzez zadzwonienie na infolinię T-Mobile. Sieć nie wymaga od dzwoniącego żadnego wykonania uwierzytelnienia.
Przypadek kradzieży numeru telefonu poprzez wykonanie duplikatu karty SIM opisuje szeroko Niebezpiecznik. Serwis zakupił niezarejestrowany starter, po czym sprawdził czy możliwe jest jego zarejestrowanie jako duplikat karty. Procedura okazała się bardzo prosta z perspektywy użytkownika i zupełnie nieprzemyślana od strony zabezpieczeń.
Studium przypadku
Jeden z czytelników serwisu Niebezpiecznik postanowił samodzielnie sprawdzić, czy faktycznie możliwe jest wykonanie takiej operacji. Konsultant na infolinii potwierdził, że wystarczy podanie numeru PESEL do wykonania duplikatu karty SIM. Co więcej, był on przekonany, że tego rodzaju informacja jest tajna, więc nie ma powodów do obaw.
Zaskakuje, że T-Mobile nie stara się w żaden sposób weryfikować, czy osoba wykonująca połączenie faktycznie posiada prawa do danego numeru telefonu. Co więcej, sieć spytana o tę problematyczną kwestię podała komunikat, że jej procedury starają się uwzględniać potrzebę szybkiego uzyskania karty z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. T-Mobile uważa, że ich procedura spełnia te założenia.
Numer w T-Mobile to zagrożenie bezpieczeństwa
Nie sposób nie zgodzić się z analizą Niebezpiecznika, że posiadanie numeru telefonu w tej sieci stanowi zagrożenie dla bezpieczeństwa danych użytkownika. Wykonanie duplikatu karty jest zbyt proste, niezabezpieczone żadnymi hasłami czy weryfikacją osoby dzwoniącej. Co więcej, sama sieć nie usunęła tego problemu, ponieważ nie uważa, by on w ogóle istniał.
Można podejrzewać, że T-Mobile chce za wszelką cenę stawiać na wygodę użytkowników i prostotę wykonywania operacji. Jednak w czasach, gdy numery PESEL są publicznie dostępne i proste do pozyskania (czy to z KRS-u, bądź z ksiąg wieczystych, które łatwo sprawdzić w sieci), tego rodzaju luka bezpieczeństwa przy wykonywaniu duplikatu karty SIM jest nie do pomyślenia
Realne zagrożenia
Wiele osób wykorzystuje swój numer telefonu nie tylko do wykonywania połączeń, ale także do obsługi transakcji bankowych. Bardzo łatwo można wyobrazić sobie sytuację, w której oszust wykonuje najpierw duplikat karty, a następnie przejmuje dostęp do konta.
Istnieją także usługi, które pozwalają na łatwe odzyskanie konta za pomocą kodu wysyłanego na numer telefonu przypisany do konta. Pierwszym z brzegu serwisem, który korzysta z takiego zabezpieczenia jest Facebook, pozwalający na zresetowanie hasła i ustawienie nowego, jeżeli potwierdzi się swoją tożsamość kodem przychodzącym za pomocą SMS-a. Oznacza to, że wykonanie duplikatu SIM może wystarczyć do przejęcia konta w niemalże każdej, popularniejszej usłudze.