11:09
18/6/2021

“Ukradliśmy” komuś numer telefonu. Chociaż nie powinno to być możliwe — udało się. Zadzwoniliśmy na infolinię T-Mobile, podaliśmy PESEL ofiary i numer seryjny kupionego za parę złotych, niezarejestrowanego startera. Tyle. To w T-Mobile wystarczy, aby wyrobić duplikat czyjejś karty SIM. Nie jest potrzebna wizyta w salonie. Nie trzeba podawać żadnych haseł abonenckich, czy też pokazywać albo dyktować danych z dowodu właściciela numeru, który “przechwytujemy”.

Macie numer na w T-Mobile i teraz panikujecie? To dobrze, bo powinniście. Ale to nie koniec horroru. T-Mobile, któremu powiedzieliśmy na czym polega luka w procedurze, nie potwierdził, że problem usunął. Wydaje się, że… większe znaczenie dla operatora ma wygoda i szybkość obsługi.

Dlatego ostrzegamy:

Masz telefon w T-Mobile i podpiąłeś go pod jakiekolwiek usługi (np. bankowość) lub konta internetowe? Na wszelki wypadek, zmień go na inny natychmiast.

(UPDATE: Pytacie, czy problem dotyczy abonamentu. Jeden konsultant mówi tak, drugi konsultant mówi nie. Mamy informacje od klientów abonamentowych, których nie weryfikowano inaczej niż PESELem zdalnie i proponowano wysyłkę karty, mamy takich, którym mówiono, że duplikat tylko w salonie. Może zależy to od sposobu nawiązania kontaktu z TMobile i podanym powodem wyrobienia duplikatu. Nie wiemy. Poczekamy więc na oficjalne stanowisko T-Mobile, a do tego czasu sugerujemy dla Waszego bezpieczeństwa założyć, że w abonamencie jest tak samo.)

Zduplikowanie czyjejś karty SIM to poważny problem

Wyrobienie duplikatu karty SIM nie powinno być łatwe. Powinno być bardzo trudne. Bo ktoś, komu się to uda, może przejąć nie tylko twoje rozmowy i SMS-y, ale — co może dziś jest zdecydowanie straszniejsze — także twoje pieniądze, poprzez przejęcie dostępu do konta w banku lub twoje poufne dane poprzez przejęcie kont w serwisach internetowych, np. skrzynki e-mail, którą założyłeś z podaniem tego numeru telefonu.

Przykładowo, gdyby np. premier Morawiecki miał swój numer w T-Mobile, można by było przejąć jego skrzynkę e-mail właśnie w sposób opisany przez nas powyżej. PESEL premiera jest znany. Numer telefonu premiera można dość szybko ustalić prostą techniką OSINT-ową i — co gorsza — wszystko wskazuje na to, że premier nie odpiął go od konta Google. A więc po udanej procedurze wyrobienia duplikatu karty SIM, ktoś mógłby dokonać resetu hasła konta premiera na GMailu:

Luka odkryta przypadkiem

Nasz Czytelnik Tomasz, autor ciekawego bloga  i kilku ciekawych aplikacji, postanowił jakiś czas temu wyrobić sobie duplikat karty SIM w T-Mobile. Tomasz najpierw spytał na czacie T-Mobile o to jak wygląda wyrabianie duplikatu.

Tak, dobrze przeczytaliście! Konsultant stwierdził, że jedyna weryfikacja to pytanie o PESEL. Tomasz na infolinię zadzwonił i tak opisał całą sytuację:

Podczas rozmowy telefonicznej konsultant przekonywał mnie, że przecież PESEL jest informacją tajną :) Specjalnie wykonałem telefon na infolinię z trzeciego numeru, bo myślałem, że może chociaż weryfikują, czy dzwoni się z tego numeru, który ma być przeniesiony (to by oznaczało, że jestem w posiadaniu starej karty SIM). Ale nie, można zadzwonić z dowolnego “obcego” numeru.

Tu dla porządku uściślijmy dwie kwestie.

  • Po pierwsze, nawet gdyby T-Mobile weryfikował numer dzwoniącego, to i tak niczego by to nie dało. Można sobie zespoofować, czyli ustawić dowolny numer telefonu, dowolnej osoby i z niego do kogoś zadzwonić. Pokazywaliśmy to w naszym filmiku ukazującym kulisy działań złodziejów, którzy dzwonią do Polaków podszywając się pod pracowników banków. Przestępcy stosują dokładnie tę sztuczkę, co niesamowicie ogłupia ofiary, bo faktycznie na telefonie widzą, że dzwoni ICH bank.
  • Po drugie, PESEL nie jest informacją tajną. Jak już wielokrotnie pisaliśmy (ostatnio przy okazji brania pożyczek na cudze dane), ustalenie PESEL-u wielu osób jest banalnie łatwe ponieważ PESEL znajduje się np. w rejestrach publicznych (nie tylko w KRS, choć tam też). Jest naprawdę jeszcze wiele miejsc, z których czyjś PESEL można pozyskać.

 
Powtórzmy: PESEL. Nie. Jest. Tajny. To tylko niektóre firmy — co jest absolutnie karygodne — wykorzystują go jako sekret, umożliwiający uwierzytelnienie klienta albo autoryzację jakiejś operacji. Takie praktyki trzeba bezwzględnie tępić, więc jeśli się gdzieś z nimi spotkacie, zgłaszajcie je nam. Zbieramy materiały do nowego filmu. Thrillera. Mamy już plakat!

Plakat

Wracając do zgłoszenia, jakie otrzymaliśmy od Tomasza… Na początku wydało nam się, że Tomasz czegoś nam nie mówi. Że procedura którą opisał jest tak łatwa, że jest niemożliwe, aby tak duży operator jakim jest T-Mobile na coś takiego pozwalał. Racjonalizowaliśmy to sobie tym, że być może konsultant miał gorszy dzień i omyłkowo nie zweryfikował poprawnie Tomasza. Że to był jednorazowy incydent.

Dlatego postanowiliśmy zrobić eksperyment.

Wyłudziliśmy kartę SIM

Zakupiliśmy dwa startery i zarejestrowaliśmy jeden z nich. Pierwszy miał fajny numer +4860XXXXXXX, drugi miał numer +4869YYYYYYY.

Co ciekawe, w czasie rejestracji karty SIM w salonie nasz redaktor został poproszony o podanie hasła abonenckiegodo czynności związanych z kartą“. Hasło było 8-cyfrowe. To bardzo nas zasmuciło, bo pomyśleliśmy, że jednak T-Mobile ma sensowne zabezpieczenie i faktycznie, incydentalnie w przypadku naszego Czytelnika, konsultant go po prostu nie zastosował.

Jak widzicie, w czasie rejestracji podaliśmy też numer do kontaktu, ale celowo inny niż numer rejestrowany (był to numer +48ZZZZZZZZZ). Chcieliśmy dać fory T-Mobile. Operator miał odnotowane przy naszym koncie z jakiego innego numeru moglibyśmy się z nim kontaktować.

Odczekaliśmy godzinę i zadzwoniliśmy na infolinię. Co ważne, celowo zadzwoniliśmy z jeszcze jednego, zupełnie innego numeru, +48AAAAAAAAA.

Przedstawiliśmy się jako “ofiara” i opowiedzieliśmy następującą bajkę:

“Kupiłem starter, miał bardzo fajny numer, ale… [postanowiliśmy ocenzurować ten fragment. Nie zdradzimy powodu, który podaliśmy konsultantowi aby przekonać go, że potrzebujemy duplikatu karty SIM. Nie zamierzamy pomagać małokreatywnym przestępcom w dokonywaniu wyłudzeń. Uważamy, że wyrobienie duplikatu karty SIM w cudzym imieniu to poważny problem, a T-Mobile nie przekazał nam informacji o jego usunięciu. Dopóki to się nie zmieni, naszej skutecznej bajeczki nie zdradzimy.]”.

Konsultant powiedział nam, że można przenieść numer na inny, jeszcze niezarejestrowany starter. My odparliśmy, że szczęśliwie właśnie taki niezarejestrowany starter mamy pod ręką, więc poprosiliśmy o przeniesienie. Następnie konsultant nas zweryfikował. Poprosił o imię, nazwisko i PESEL, a potem numer nowego startera (długi ciąg cyfr widoczny pod kodem kreskowym).

Co ciekawe, konsultant kilka razy wpisywał ten numer do systemu i rzekomo uzyskiwał informację, że ten niezarejestrowany starter jest już zarejestrowany (i tak to jest w życiu, że problemy są nie tam gdzie się spodziewasz). Potem ustalił, że problem może wynikać z tego, że z naszego zarejestrowanego startera nie wykonaliśmy jeszcze żadnego połączenia, więc nie jest aktywny i nie można go przenieść. Ostatecznie, po 13 minutach rozmowy, obiecano nam że nowy numer zostanie przeniesiony na nową kartę.

Na aktywacje numeru czekaliśmy 3 dni i nic się nie stało. Zaczęliśmy się zastanawiać, czy oto nie zadziałało jakieś specjalne zabezpieczenie? T-Mobile sztuczną inteligencją przeanalizował brzmienie głosu i wyczuł podstęp. Zadzwoniliśmy więc na infolinię jeszcze raz (znów z numeru +48AAAAAAAAA).

Konsultant, z którym zostaliśmy połączeni przeprosił za swojego kolegę, poprosił o kod PUK nowego startera i obiecał, że niebawem numer powinien zostać przeniesiony. Aktywacja nastąpiła dosłownie 5 minut później (byliśmy pod wrażeniem sprawności obsługi, niezależnie od celu naszego testu).

Podsumujmy:

  1. Udało nam się wyrobić duplikat karty SIM przez infolinię, weryfikując się jedynie nazwiskiem i PESEL-em.
  2. Na infolinię dzwoniliśmy z numeru zupełnie nieznanego operatorowi, innego niż podany jako dodatkowy numer kontaktowy.
  3. T-Mobile, choć w czasie rejestracji karty SIM prosi o ustalenie hasła abonenckiego, to nie wymaga go podczas wyrabiania duplikatu karty SIM.

Co na to T-Mobile

Byliśmy trochę zszokowani bo przejęcie karty SIM okazało się trywialne. Zadaliśmy operatorowi trzy pytania.

1. Czy zdaniem TMobile procedura podmiany karty SIM bazująca jedynie na sprawdzeniu numeru PESEL nie jest ryzykowna?
2. Czy TMobile ma zamiar zweryfikować i poprawić swoje procedury w tym zakresie?
3. Czy TMobile posiada jakiekolwiek analizy lub statystyki dotyczące ewentualnych złośliwych wyłudzeń kart SIM? Jeśli tak, to jak często takie problemy są zgłaszane?

Pytania przesłaliśmy w piątek 11 czerwca. Natychmiast otrzymaliśmy telefon z informacją, że uzyskamy odpowiedzi i sprawa zostanie sprawdzona, ale będzie to wymagało czasu. Rozumieliśmy to świetnie. Spodziewaliśmy się zmiany procedur, a na to duża firma potrzebuje przecież czasu. 15 czerwca otrzymaliśmy taki oto komentarz, który miał być odpowiedzią na nasze pytania.

Szanowny Panie Redaktorze,
dziękujemy bardzo za wiadomość. Prośba o wydanie duplikatu karty SIM jest bardzo często następstwem utraty telefonu, gdy bardzo często nagle tracimy kontakt z najbliższymi, nie mamy dostępu do przechowywanych w domu dokumentów i odzyskanie karty i numeru jest wtedy priorytetem. Nasze procedury starają się uwzględniać potrzebę szybkiego uzyskania karty z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. Nasze dotychczasowe doświadczenia wskazują, że obecna procedura spełnia te założenia. Niezależnie od obowiązujących w danym momencie w naszej sieci procedur, obserwujemy praktyki rynkowe, wdrażamy nowe rozwiązania, ale również słuchamy głosu naszych Klientów, tak aby zapewnić im najwyższy komfort oraz bezpieczeństwo. Przyjrzymy się jeszcze raz temu procesowi z intencją wprowadzenia głębszej weryfikacji Klienta nie utrudniając mu jednak szybkiego odzyskania numeru.
Pozdrawiamy
Biuro Prasowe T-Mobile

Nie otrzymaliśmy w tej sprawie żadnego potwierdzenia, że procedura została zmieniona, więc zakładamy, że dalej wygląda tak, jak wyglądała tydzień temu. Spodziewaliśmy się przynajmniej w przypadku telefonów na abonament ta procedura wygląda inaczej. Niestety nikt o nie wspomniał, żeby miało być inaczej…

Aktualizacja: Jeden z czytelników dowiedział się na infolinii, że w przypadku abonamentu procedura ma wyglądać inaczej. Oto cytat odpowiedzi: “wymiana karty SIM w przypadku abonamentu, nie jest realizowana w kanale zdalnym. Można jedynie dokonać zamówienia, jednak sama karta SIM wydawana jest tylko właścicielowi numeru“.

Dlaczego tak nie można zrobić z numerami na kartę? Nie wiemy, dopytamy. Zwłaszcza, że inny czytelnik dał nam znać, że dziś dało się wyrobić duplikat karty SIM w abonamencie, bez obecności w salonie. Weryfikacja w rozmowie przez PESEL. Karta wysyłana na adres — i tu cytat Czytelnika — “nawet nie ten z umowy”. No ale adres to przynajmniej jakiś ślad.

Ktoś z Was ma T-Mobile w abonamencie i robił niedawno duplikat karty SIM? Dajcie znać, jak to u Was wyglądało. Jeszcze parę lat temu (patrz cytat z artykułu poniżej) duplikaty karty SIM T-Mobile wysyłał także pocztą.

Póki co, na początku artykułu dodaliśmy informację odnośnie niepewności co do tego, jak to wygląda w abonamencie. Ale dla Waszego bezpieczeństwa sugerujemy na razie założyć, że niestety tak samo.

Jakbyście wyrabiali sobie duplikat karty SIM w T-Mobile, dajcie znać, czy coś się zmieniło. Dziś, po publikacji tego artykułu i zapewno jutro, a może nawet pojutrze operator i infolinia może być wybitnie wyczulona na takie zmiany. To zrozumiałe. Poczekamy, zobaczymy…

To czego jesteśmy pewni, to że procedura wyrobienia duplikatu karty SIM w T-Mobile nie powinna wyglądać tak, jak wygląda teraz. Choćby wysłanie SMS-a na numer, który ma zostać przeniesiony byłoby wskazane. Mogłoby ostrzec osobę, której ktoś w sposób nieautoryzowany duplikuje kartę SIM. O ile w przeciągu 5 minut (w naszym przypadku) ktoś byłby w stanie w ogóle z takim SMS-em się zapoznać…

Więcej osób oszukało procedury T-Mobile

Jakiś czas temu opisywaliśmy przypadek Wandy, której kartę SIM wyłudzono właśnie w T-Mobile, polecamy lekturę artykułu pt. Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotych.

Opisywaliśmy też jak okradziono inną osobę, także abonenta T-Mobile, któremu przez infolinię nie tyle wyrobiono duplikat karty SIM, co przekierowano rozmowy przychodzące a następnie dzięki przekierowaniu podpięto się pod jego konto w mBanku aplikacją mobilną.

Nie oznacza to oczywiście, że u innych operatorów problem wyłudzenia duplikatu karty SIM nie istnieje. Znamy przypadki, w których oszuści posługiwali się sfałszowanymi dowodami osobistymi lub sfałszowanym oświadczeniem notarialnym, aby oszukać operatora i przejąć czyjąś kartę SIM.

Mam numer w T-Mobile — co robić, jak żyć?

Niestety, musisz się mocno zastanowić, czy warto mieć “wrażliwe” numery telefonów w T-Mobile. Warto przypomnieć, że od dawna w Polsce można bez utraty numeru przejść do innego operatora. Przynajmniej do momentu, do którego T-Mobile nie poinformuje, że uszczelniło procedurę (i ktoś to zweryfikuje).

A jeśli dojdziesz do wniosku, że zostajesz przy T-Mobile ze swoim “wrażliwym” numerem, to chociaż odepnij go od każdego konta i instytucji, w których poprzez kod wysyłany SMS-em na ten numer można uzyskać dostęp do twoich danych, usług lub pieniędzy (zmień go na inny numer). Konto w banku i skrzynka mailowa są priorytetem. Giełdy kryptowalut też.

To oczywiście nie jest wina operatorów telekomunikacyjnych, że serwisy niezależne od operatorów swoje bezpieczeństwo budują na (błędnym) założeniu, że numery telefonów są nieprzechwytywalne. Ale tak to wygląda. I może pora, aby operatorzy jednak mocniej wzięli to pod uwagę?


Aktualizacja 18.06.2021, 18:21
Otrzymaliśmy dodatkowy komentarz od T-Mobile, w którym operator wreszcie przyznaje się do dziury w swoich procedurach wydawania duplikatu karty SIM. Zanim jednak go zaprezentujemy, poświęćmy chwilę na przyjrzenie się komunikacji T-Mobile zarówno w czatach z Wami jak i w social mediach. Najpierw historia rozmowy z czatu z jednym z czytelników. Faza “zaprzeczenia”:

Była też faza “Tajemnicy”, jesteśmy bezpieczni, ale nie powiemy dlaczego:

…oraz PESEL JEST TAJNY!!!

Na szczęście inni konsultanci byli bardziej zorientowani w temacie:

Konsultant (albo bot?) T-Mobile był też aktywny w mediach społecznościowych i odpowiadał tak:

Nie pytajcie nas, nie wiemy co to znaczy, że “proces weryfikacji jest dwuetapowy”. Niektórzy z Czytelników w odpowiedzi na twity T-Mobile żartowali, że pierwszy etap to “Halo, czy Pan mnie słyszy?” a drugi to “Proszę teraz podać PESEL aby potwierdzić“, inni byli zdania, że pierwszy etap to podanie PESEL-u a drugi, to daty urodzenia ;)

Potem profil (bot?) T-Mobile zmienił taktykę i zaczęło w odpowiedziach wklejać to samo, co nam e-mailem przysłał Konrad Mróz z T-Mobile Polska S.A.:

Opisana w artykule procedura wymiany karty SIM była stosowana tylko dla części klientów usług przedpłaconych. Obecnie również oni podlegają pełnej dwuetapowej procedurze identyfikacyjnej przy próbie uzyskania duplikatu karty, aby zminimalizować ryzyko powtórzenia się takiej sytuacji. Niezależenie od obowiązujących obecnie procedur stale pracujemy nad nowymi rozwiązaniami, aby zapewnić klientom najwyższe bezpieczeństwo i komfort korzystania z usług.

A więc dziurawa procedura miała być stosowana tylko dla “części” klientów. Jakiej? Na to pytanie, T-Mobile nam nie odpowiedziało. Mimo wszystko, cieszymy się, że operator podjął słuszną decyzję. Szkoda, że dopiero przyciśnięty echem naszej publikacji. Ale od tego jesteśmy. Do usług.

Na koniec wklejamy zbiór relacji Czytelników, którzy — podobnie jak my i Tomasz — też wyrobili sobie duplikaty kart, chociaż nie powinni. Byli też tacy, którzy podobny problem zgłaszali operatorowi ponad półtora roku temu i wtedy dowiedzieli się, że można na T-Mobile wymóc zmianę elementu uwierzytelnienia z PESEL-u na kod (abonenta lub PUK). Szkoda, że operator o tym nie informuje… A jeszcze bardziej szkoda, że nie jest to opcja domyślna.

Niestety wymuszenie obowiązku duplikowania się w salonie nie jest możliwe:

Wśród czytelników były też osoby z abonamentem, a więc odpowiednio modyfikujemy adnotację na wstępie niniejszego artykułu. Problem braku należytej weryfikacji klienta dotyczył klientów abonamentowych.

Oraz firmowych:

Czy od dziś w T-Mobile będzie już lepiej? Czy wszyscy konsultanci dostali informację o zmianie procedury weryfikacji? Poczekamy, zobaczymy…

PS. I nie myśl, że jeśli nie opublikowałeś nigdzie swojego numeru PESEL to nikt go nie zna. To nieprawda. Można go pozyskać z wielu źródeł przy pomocy prostych technik osintowych.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

153 komentarzy

Dodaj komentarz
  1. Parę lat temu, w 2013 konkretnie, musiałam do T-M przynieść papier o kradzieży z policji, żeby wyrobili mi duplikat karty sim. Czasy się zmieniły.

    • Eksponując twierdzenie, że PESEL nie jest daną tajną, robicie bardzo, bardzo złą i nieodpowiedzialną robotę właśnie dlatego, że często jest to wyłączna informacja autoryzująca różne rzeczy. Powinniście raczej pisać, że to jest jedna z najważniejszych danych do trzymania w sekrecie, przynajmniej dopóki się to nie zmieni. I nie ma tu absolutnie żadnego znaczenia, że PESEL części ludzi łatwo pozyskać.

    • @Przemek
      Pesel nie jest dana tajna i nigdy taka nie byl. Pesel zna przedszkole, szkola podstawowa, pracodawca, pani w biurze podrozy, obsluga stoku przy wypozyczeniu nart etc.
      Uzywanie PESEL jako tajnego identyfikatora na wzor amerykanskiego social security number to jakas mega pomylka. A wystarczyloby wprowadzic opcje, ze wniosek o wymiane karty SIM w PDF trzeba podpisac ePUAP…

    • Wow. Prezentujesz poziom GUSu który nie zabezpieczył spisu powszechnego bo jego wypełnienie przez osoby trzecie to przestępstwo. Takie oderwanie od rzeczywistości na maxa.

    • Nie, PESEL NIE jest informacją tajną, NIE MA MOŻLIWOŚCI trzymania go w sekrecie (bo są dziesiątki sytuacji, kiedy musisz go podawać, przy podpisywaniu różnych umów itp.) i nawet twoja ogromna chęć zaklinania rzeczywistości, żeby było inaczej, tego nie zmieni.
      Podejście, które proponujesz, nazywa się “security by obscurity” i jest NAJGORSZYM MOŻLIWYM podejściem do bezpieczeństwa. A na dodatek nawet nie da się go tak naprawdę w tym przypadku zastosować, bo – tak jak napisałem – PESEL-a NIE DA się utajnić.

      PESEL jest czymś takim jak np. login do twojego maila. Czy gdyby do dostępu do maila wystarczyło, żebyś podał sam login, bez żadnego hasła itp., to uważałbyś taki system mailowy za bezpieczny? A tak właśnie wygląda autoryzacja ludzi na podstawie samego PESEL-u.

      Nie należy udawać, że PESEL jest tajny (bo nie jest) i zachęcać ludzi “do trzymania go w sekrecie”. Natomiast przeciwnie – należy trąbić wszem i wobec (tak jak to robi Niebezpiecznik), że PESEL NIE JEST i nigdy nie był żadną daną tajną i w związku z tym używanie go do autoryzacji jest całkowitym nieporozumieniem.

    • Przemek, mam nadzieję, że trollujesz..

    • “Eksponując twierdzenie, że PESEL nie jest daną tajną, robicie bardzo, bardzo złą i nieodpowiedzialną robotę właśnie dlatego, że często jest to wyłączna informacja autoryzująca”

      To, co postulujesz, to typowe security by obscurity — to nie działa. Niebezpiecznik słusznie robi uświadamiając ludzi, że pesele są trywialne do znalezienia. Dzięki temu do świadomości się powoli przebije, żeby nie korzystać z usług firm, które używają peseli do autentykacji, i nie tworzyć tego rodzaju procesów.

    • Informację, że PESEL nie jest daną tajną powinno powszechnie się głosić. Nawet instytucje rządowe czy policja powinny głośno o tym wszędzie informować. Trzeba wyplenić w końcu ten proceder uwierzytelnienia się PESELem.

    • PESEL jest dną osobową i jako taka podlega pod restrykcje RODO. Jakbyście porozmawiali z bankowcami to by Wam powiedzieli, dlaczego jeszcze należy go chronić czyli nie rozpowszechniać bez potrzeby.

  2. Czy w wypadku korzystania z oferty T-mobile na abonament też jest się zagrożonym?

    • Otrzymałem informację od T-MOBILE (na czacie od konsultanta): “wymiana karty SIM w przypadku abonamentu, nie jest realizowana w kanale zdalnym. Można jedynie dokonać zamówienia, jednak sama karta SIM wydawana jest tylko właścicielowi numeru”

    • No właśnie mi Pani Konsultantka na infolinii powiedziała coś innego :)

    • Na stronie T-MobilE jest informacja, że można przenieść nr z karty na abonament. Może to jest najprosze rozwiązanie, jeśli abonament nie posiada tej luki.

    • W abonamencie T-Mobile, dzwoniąc do biura obsługi, możesz się uwierzytelnić hasłem abonenckim lub numerem PESEL. Tak że może nie wyrobisz duplikatu, ale możesz komuś solidnie zaszkodzić, włączać i wyłączać usługi etc.

    • Zamówiona zdalnie karta SIM jest dostarczana przez kuriera który mnie za bardzo sprawdza co i komu wydaje

  3. Takie rzeczy absolutnie nie powinny być zmartwieniem szarego obywatela. Może jak jakiemuś politykowi w końcu obrobią konto to coś się w tym temacie zmieni. Sprawa powinna być prosta – ten kto dał się nabrać w trybie natychmiastowym pokrywa szkody i wypłaca wielomilionowe odszkodowanie.

    • Nie polityk, tylko prezes T-mobile, gwarantuje ci, ze po takiej akcji sporo osób by poleciało, i procedury by zmienili. O ile prezes sam ma numer w tmobile, bo wiedząc o takich dziurach może się nie odważyć

  4. To teraz zasadnicze pytanie – gdzie warto przenieść numer?
    Który operator pod kątem możliwośći wyrobienia duplikatu wygląda najbezpieczniej?

    • Generalnie operatorzy przy kwestiach związanych z wymianami SIMek, podpisywaniem umów, zmian MSISDN wymagają hasła abonenckiego w kanale zdalnym albo legitymują właściciela w POSach.

      Na PESEL + dane dodatkowe(jak adres, stan konta, itd.) służą zazwyczaj do podawania informacji o koncie i aktywacji/dezaktywacji usług.

      Generalnie w idealnym świecie byłoby inaczej ale zbyt sztywna weryfikacja klienta obniża wszystkie typu satysfakcja klienta, NPS, zadowolenie klienta itd., a to koniec końców powoduje większe koszty/straty niż 99% incydentów bezpieczeństwa. No i do tego dochodzą jeszcze błędy ludzkie. Na infoliniach pracują często studenci, osoby dorabiające sobie, którzy rzadko wytrzymują dłużej niż 6 miesięcy więc trudno się spodziewać, żeby jakoś kosmicznie im zależało na poprawnym wykonywaniu swojej pracy i ciężko oczekiwać żeby byli jakoś kosmicznie wyselekcjonowani i przeszkoleni do wykonywania tej pracy.

  5. Jak wygląda sprawa u innych operatorów, wie ktoś?

    • Udało nam się także wyrobić duplikat karty SIM w Plusie. Było to już jakiś czas temu, ale nie było związane z błędem w procedurze, bo ponawiając tę próbę w innym salonie, nie zakończyła się ona sukcesem. Można więc powiedzieć, że było to błąd pracownika, co może się przytrafić każdemu operatorowi. Może kiedyś to opiszemy.

    • W Orange wymienić kartę może tylko właściciel z dowodem osobistym – nie wymienią na upoważnienie nawet notarialne.

    • W orange jest takie coś tylko po
      1. Musisz mieć dostęp do karty sim i znać puki
      albo wejść do mój orange i tam kod do starej karty sim przychodzi smsem nr telefonu i puk karty

    • Byłem pozytywnie zaskoczony procedurą w Playu. Po przedstawieniu dowodu dostałem nową kartę SIM, ale została ona aktywowana po około 3 godzinach. W międzyczasie na adres e-mail zarejestrowany u operatora przynajmniej dwukrotnie przysłano ostrzeżenie, że rozpoczęto procedurę wymiany i jeśli nie ja to zrobiłem, powinienem zadzwonić na infolinię. Zdaje mi się, że jeśli stara karta jest aktywna, dostaje SMS-y o podobnej treści.

      T-Mobile jest dobrą siecią, ale uwierzytelnianie po numerze PESEL zdecydowanie powinni poprawić.

    • Ja mam hasło abonenckie w Play

    • Wyrabiałem duplikat w Playu, mając dostęp do starej karty. Procedura owszem szybka, ale na starego sima byłem spamowany co najmniej 5-krotnie informacją, że rozpoczął się proces wyrabiania duplikatu i że jeśli to nie ja, to żebym szybko skontaktował się z infolinią. Po około dobie bez mojej reakcji stara karta przestała działać, nowa zaczęła. Szacun za to, Play. Jak ktoś umie czytać i nie ignoruje powiadomień, to taka procedura jest zajebista.

    • @Prosiaczek – właśnie miałem napisac o Playu, bo dosłownie wczoraj wymieniałem sobie tam kartę. Inna sprawa, że problemu, który mam z tą kartą, nie rozwiązała ani wymiana, ani wcześniejsze trzy dni kontaktów z infolinią :( – poziom kompetencji ludzi od obsługi klienta w tej firmie jest żałosny (zresztą pewnie nie tylko w tej) i jeżeli coś nie działa to nie mają zielonego pojęcia co zrobić :(. Ale procedura wymiany karty jest jak najbardziej ok. Tak jak napisałeś, nowa karta jest aktywowana po 3 godzinach, w tym czasie 3 razy przyszły informacje SMS-em zarówno na starą kartę, na numer kontaktowy podany w ustawieniach Play24 (mam ustawiony inny niż numer na tej karcie, bo karta jest tylko do Internetu i jest używana w modemie) oraz mailem również na adres kontaktowy podany w Play24.

  6. czy wiadomo co z innymi operatorami?

  7. Przecież wystarczyłoby, żeby operator infolinii po rozłączeniu się… zadzwonił na rzekomo niedziałający numer i sprawdził, czy ktoś odbierze lub czy jest sygnał. Skoro odebrał albo jest sygnał, to karta działa i nie ma powodu jej przepisywać i tyle.

    • To bylaby bardzo sensowna procedura – nie pomoze, jesli telefon jest na prawde skradziony, ale moglaby pomoc przeciw wrogim przejeciom

    • Wymianę karty SIM można wykonać z różnych powodów, na przykład potrzebna jest nanoSIM gdy ktoś ma jeszcze starą microSIM (inny rozmiar), albo na przykład pojawią się błędy w karcie SIM uniemożliwjające wykorzystanie jej jako USIM do LTE (a 3G będzie działać), albo na przykład ktoś wymienia zwykłą kartę SIM na T-Mobile Tandem (dwie identyczne karty SIM /z tym samym numerem itd./ do używania naprzemiennego w dwóch różnych urządzeniach bez potrzeby przekładania kart) itp.

    • To też jest nie do końca prawidłowa procedura bo co jeśli telefon został skradziony i przestępca będzie twierdził, że jest właścicielem i nie wystąpił o duplikat?

    • Wg mnie wyrabiane duplikatu powinno być powiązane z podpisywaniem aneksu. Utrudnione, trudno. Trzeba pilnować swoich rzeczy. Z drugiej strony, ktoś może powiedzieć, a co w przypadku kradzieży. Myślę, że jak ktoś zostaje okradziony, to duplikat SIM jest w tym momencie chyba najmniejszym zmartwieniem.

    • No nie do końca, bo wymiana karty SIM może być konieczna z różnych powodów, jak chociażby fakt, że masz starą kartę sim w normalnym formacie, a potrzebujesz nowej w formacie micro lub nano.

    • Ale możesz chcieć wymianę na nanoSIM, czyli karta działa. Wtedy mogliby prosić o kod, który wysyłaliby na tą kartę SMS-em. Znikomy koszt dla operatora. A tymczasem:
      @T-mobile
      > (…) z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. (…) obecna procedura spełnia te założenia.
      buehe

    • No nie do końca, bo ktoś może zgubić kartę. Sygnał będzie bo telefon lezy gdzieś w krzakach, a ktoś moze domagać się przepisania numeru, i co wtedy? Moim zdaniem należałoby zupełnie zaprzestać duplikowania kart przez telefon. Tylko w salonie po dokładnej weryfikacji.

    • Więc co zrobić, gdy zgubiłeś telefon i ktoś go znalazł lub co gorsza, ukradł i nie zamierza zwrócić? “Znalazca” odbierze połączenie od operatora, duplikat karty SIM się nie powiedzie, a właściciel będzie nadal bez numeru. Jak widzisz, ta moneta ma dwie strony…

    • @
      Lak 2021.06.18 13:36 | # |
      To też jest nie do końca prawidłowa procedura bo co jeśli telefon został skradziony i przestępca będzie twierdził, że jest właścicielem i nie wystąpił o duplikat?

      Abonent zlecający wymianę karty od razu zgłasza zagubienie/kradzież telefonu z kartą. Karta jest blokowana w systemie. Równolegle aktywowany duplikat. A jeśli jakiś złodziej będzie wkręcał, że to on jest właścicielem to trafia na silniejszą identyfikację. Jeśli operator uwierzy to odpowiada a przynajmniej w normalnym kraju powinien. Rozmowy są nagrywane więc operator się nie wywinie.

    • @Lak – i w tym momencie pakujesz się w inny problem, o którym też już Niebezpiecznik pisał i wiele takich ataków było. Przychodzi ktoś ze sfałszowanym dowodem, podaje się za właściciela, zgłasza zgubienie/kradzież karty i prosi o duplikat. Jeżeli byłoby tak, jak chcesz, to w tym momencie prawowity właściciel traci dostęp do numeru, a zyskuje go oszust.

    • Jeśli telefon jest naprawdę skradziony to jego właściciel pewnie już myśli o wszystkich szkołach jakie mogą z tego wynikać i zakłada że złodziej moze korzystać z jego karty.
      Problemem SIM swapu jest to że dla ciebie jako dla zwykłego Kowalskiego nic się nie dzieje, gdy kasa cieknie z konta możesz być tego zupełnie nieświadomy. A to że telefon przestał się łączyć z GSM też nie musisz zauważyć od razu.

    • “To też jest nie do końca prawidłowa procedura bo co jeśli telefon został skradziony i przestępca będzie twierdził, że jest właścicielem i nie wystąpił o duplikat?”

      Przestępca który ukradł Twój telefon jest w posiadaniu twojej karty SIM. Po co mu duplikat?

    • “Jeśli operator uwierzy to odpowiada a przynajmniej w normalnym kraju powinien. Rozmowy są nagrywane więc operator się nie wywinie.”

      Jaka odpowiedzialność chcesz zrzucić na pracownika infolinii? Radosną rzeczą w pracy na niskich stanowiskach jest brak odpowiedzialności. Jeżeli twój szef w banku powie ci robimy nowy produkt klient płaci 500 zł a my płacimy za to 150 zł miesięcznie przez 30 lat. Policz to przy założeniu że stopa zwrotu wynosi 99,9% miesięcznie żeby wyszło dodatnie MCEV. To mógłbym to zrobić i największe co mogło mnie spotkać to chyba utrata 3 miesięcznego wynagrodzenia, a pewnie to też nie bo tylko wypełniałem polecenie. Jasne nie mogłem robić jawnie nielegalnych rzeczy np. przyjąć kasę od klienta i schować do kieszeni ale tak długo jak postępowałem zgodnie z procedurami i te procedury nie są sprzeczne z prawem w oczywisty sposób, to jest to na ryzyku moich przełożonych a nie moim.

  8. Ciekawe czy problem dotyczy także umów firmowych?

  9. Dostaję się sms’a z potwierdzeniem przenoszenia numeru, to w razie czego jest pewien bezpiecznik.

    • tylko że w T-mobile się nie dostaje. Ja nie dostałam i z artykułu wynika, że niebezpieczniki też nie.

  10. Procedury wymiany karty w abo czy na kartę z tego co wiem zawsze wymagają wizyty w punkcie . Procedura taka jest w Plus i Play dodatkowo w nie których przypadkach potwierdzenie notarialne ( szkoda ze notariusz nie może potwierdzić akty notarialnego ) . Bok u obu operatorów weryfikuje wymianę karty jeszcze dokładnie

    • Niestety w tmobile tak nie jest. Tydzien temu duplikat proponowali wysłać na adres.

  11. Wygoda i szybkość obsługi jest zawsze najważniejsza. Bezpieczeństwo można mieć w d…, najważniejsze żeby zachować odpowiednie pozory.

  12. Mam abonament w T-mobile, wymieniałem pojedynczego sim’a na zestaw Tandem. Nie chciano mi tego zrobić nawet na podstawie mObywatela, twierdząc że nie mają żadnego rozporządzenia ani urządzenia do zweryfikowania wyświetlanych na telefonie informacji.
    Dopiero przyjście z fizycznym dowodem osobistym pozwoliło na realizację.

    • Bo trzeba najpierw tak jak niebezpiecznik i ich czytelnik zadzwonić na infolinię. Wtedy konsultant może zaproponować zdalną metodę bez wizyty w salonie. Wtedy weryfikacja z dowodu nie jest wymagana. Niektórzy w firmie zgłaszali to jakiś czas temu…

    • Co do mObywatela, próbowałem na stronie dotyczącej tej aplikacji znaleźć informację o jakiejkolwiek podstawie prawnej (ustawie lub rozporządzeniu), na podstawie której ta aplikacja działa – nic takiego nie znalazłem. Jeżeli takiej podstawy prawnej nie ma (a na to wygląda), to znaczy że ta aplikacja jest po prostu nielegalna. Bo o ile w stosunku do obywateli obowiązuje zasada “co nie jest zabronione, jest dozwolone” to w stosunku do organów państwa jest inaczej – organy państwa mogą działać tylko “na podstawie i w granicach prawa”, co oznacza, że dla organów państwa, jeżeli coś nie jest jawnie DOZWOLONE odpowiednim przepisem prawnym, to jest ZABRONIONE!

      Zatem jeżeli nie było żadnego przepisu prawnego zezwalającego na wprowadzenie czegoś takiego jak mObywatel, to mObywatel nie ma prawa istnieć.

    • @raj nie masz racji:
      Art. 19e Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005 nr 64 poz. 565 z późniejszymi zmianami):
      “Minister właściwy do spraw informatyzacji udostępnia oraz zapewnia rozwój oprogramowania przeznaczonego dla urządzeń mobilnych, zwanego dalej „publiczną aplikacją mobilną”…”

  13. Jakieś 5-6 lat temu, w T-Mobile dla firm, można było zmieniać usługi na koncie abonenckim znając tylko NIP firmy… ciekawe, jak to jest teraz.

    • Moja cała rodzina miała od lat abonamenty w TM. Kod abonencki dawało się łatwo zastąpić innymi danymi głównego abonenta. Pesel? Wystarczyły zwykle dane adresowe.
      Złośliwy znajomy mógł zadzwonić i pozmieniać usługi.

    • 2-3 tygodnie temu próbowałem zmienić przekierowania w telefonie firmowym w t-mobile i się nie dało. Dwa razy kontaktowałem się z infolinią i za każdym razem dostałem informację, że jest wyznaczony opiekun klienta w tm, oraz osoba kontaktowa w firmie i tylko porozumienie tych dwóch osób może zmienić coś w koncie. Firma duża, setki numerów, więc albo to standard dla dużych firm, albo da się włączyć takie zabezpieczenie.

  14. Jak sprawa wygląda w przypadku Mixa? Tam teoretycznie działamy na zasadzie abonamentowej, podpisanej umowy, więc domyślam się, że zagrożenia nie ma. Ale jestem ciekaw jak wygląda to w rzeczywistości, ma ktoś wiedzę na ten temat?

  15. Podobno można wysłać odręcznie napisany wniosek z żądaniem hasła abonenta Tmobile przy wyrobieniu duplikatu karty SIM i oznaczają na koncie że bez tego nic się nie da zrobić, oczywiście pewnie ma to swoje luki bo hasło abonenta da się zmienić, ale na pewno lepiej niż weryfikacja po samym peselu.

    Wszystko wtedy zależy od tego jak mają zrobiony system i czy pracownik będzie się trzymał procedur, ale i tak warto takie coś wysłać

  16. Jestem po rozmowie z BOI. Jestem klientem abonamentowym.

    I UWAGA: można zmienić kartę sim po podaniu PESEL i dodatkowej informacji (jak są wysyłane faktury). I wtedy TMOBILE wyśle kartę nową – UWAGA – na podany przez telefon adres.

    Żeby przeciwdziałać można podejść do punktu obsługi klienta i ustawić hasło bez którego nic z danymi konta nie zrobią tzn. bez podania tego hasła nie wystawią duplikatu.

    • No to jest tragedia. W komentarzach na socjalach niebezpiecznika ktoś pisał, że u niego nawet pytania o to jak wysylane sa faktury nie bylo. Tylko prosba o adres. I podal taki ktorego Tmobile nie mial. Komedia.

      Chyba co konsultant to inaczej to wyglada. TMobile powinien to ogarnac bo zagrozenie powazne. Dzis karta SIM to jak drugi dowod osobisty. Taki cyfrowy.

  17. Jakby coś w Orange wyrobić duplikat można tylko w salonie z dowodem osobistym (żadnych upoważnień nie uznajemy) lub tak zwana samodzielna wymiana gdzie trzeba wysłać smsy ze starej karty i podać jej kod PUK. Z kolei żeby uzyskać PUK w salonie musi być właściciel lub na infolinii podając różne dane (tam nie pracuję aktualnie i nie dzwonię, ale pewnie pesel, imię, nazwisko i jakieś dodatkowe pytanie)

    • Przecież PUK dostaje się razem z kartą (jest napisany na tym plastiku z którego wyłamuje się kartę), nie trzeba go nigdzie uzyskiwać.

    • Ale jak ktoś kartę wyłamał, a plastik gdzieś posiał (a takich przypadków jest zapewne sporo) to jakoś kod PUK taki ktoś chciałby uzyskać.

  18. Jakiś czas temu w salonie Orange przenosząc nr. żony na moje konto abonamentowe nikt nie sprawdził jej żadnego dokumentu, wystarczy że podała swój nr. telefonu i fizycznie była ze mną :D. Więc nie tylko T-Mobile ;)

  19. Pytam się dlaczego operatorzy ( bo wiedzą czy dana karta loguje się do sieci ) , nie wysyłają SMS-a na ten numer, który ma być wyrobiony duplikat z pytaniem czy faktycznie zlecił dokonanie wyrobienia duplikatu karty SIM, jeśli tak to ma to faktycznie potwierdzić zgłaszając się do salonu w tym samym czasie gdzie rzekomo inna osoba próbuje wyrobić duplikat i wtedy wszystko staje się jasne.
    W przypadku gdy karta SIM nie loguje się do sieci powinni zapytać danego użytkownika z jakich 3 ostatnio telefonów korzystał przed wyrobieniem duplikatu, powinni także zapytać o numery na które najczęściej były wykonywane połączenia / wysyłane SMS-y oraz lokalizację w których był z telefonem / telefonami.
    Znając operatorów to wiem, że idą się po najmniejszej linii oporu i ewentualne późniejsze problemy zostawia się “na barkach” Bogu ducha winnego użytkownika.
    Oczywistą oczywistością powinna być także biometria ! ale widać nikt się nie śpieszy aby ją wprowadzić.

    • Powinni wysyłać. Niektórzy wysyłają. Ale jak mówisz, że Ci karta się uszkodziła, to przecież nie odbierzesz SMSa z pytaniem i na niego nie odpowiesz. Weź pomyśl zanim coś napiszesz.

    • @kain
      Przecież napisał alternatywną wersję. Operator jest w stanie sprawdzić np. model telefonu, numery telefonów pod które się dzwoniło, numer konta z którego opłacono rachunek, kiedy opłacono /doładowano ostatni raz konto i jaką kwotą. Jakie inne usługi są na koncie abonenckim.

  20. Artykuł jednostronny. To banki postanowiły o wykorzystaniu nr tel/SIM w procesie autoryzacji użytkownika. Procedury operatora z założenia mają ograniczać ryzyko dla świadczenia usług telekomunikacyjnych zgodnego z umową o świadczenie tych usług nie zabezpieczać wykonanie umowy rachunku bankowego. Czy/jak banki wyceniły ryzyko, że zdecydowały o dopuszczeniu nr telefonu przy dostępie do środków?

    • No to niech T-Mobile napiszę na stronie że nie jest odpowiednim operatorem do używania do zabezpieczenia swoich pieniędzy w banku. I żeby w t celu korzystać z konkurencji. A nie mówi że ona procedury i wszystko jest poprawnie.

    • W ogóle banki nie oceniły ryzyka. To banki, tam nie nie ocenia niczego poza słupkami. W efekcie do dzisiaj nie ma sprzętowego 2FA i nie będzie, do czasu aż na stanowisku decyzyjnym pojawi się ktoś posiadający pojęcie o rozwoju techniko w ostatnich 50 latach. I nie pojawi się. Dalej będziemy ryzykować własnymi pieniędzmi przez ignornancję banków.

  21. Co mozna z tym zrobic – czy sa jakies uslugi voip ktore maja obsluge smsow? Wyglada na to ze czynnik ludzki lub procedury u wszystkich operatorow szwankuja.

    • Google Voice. Niebezpiecznik na szkoleniach pokazuwal jak założyć z Polski :]

  22. Do redakcji dlaczego usuwacie merytoryczny komentarz ?!

  23. Łatwo się przed tym zabezpieczyć, wystarczy wysłać do operatora list/ email z odręcznym podpisem (skan) z informacją, aby wymagali podania hasła abonenta podczas wyrobienia duplikatu karty SIM lub innych czynności. Do tego hasło abonenta warto zmienić na jakieś bezpieczne i sobie gdzieś zapisać i po sprawie.
    Później już tylko zależy wszystko od systemu Tmobile i ich pracowników, ale na czacie zapewniają, że jest taka możliwość tylko potrzebują dyspozycji z odręcznym podpisem.
    Swoją drogą nie tylko Tmobile to oferuje a większość operatorów tylko niestety nie chwalą się tym i zazwyczaj trzeba wysłać reklamacje / pismo z taką prośbą i dopiero wtedy wymagają hasła, operatorzy internetu czy TV tych z których korzystałem dają taką możliwość po wysłaniu odpowiedniego pisma. Niestety sami otwarcie o tym nigdy nie informują.

  24. Rozumiem, że Polską rządzą Janusze, ale żeby w prywatnym sektorze tacy byli? Polska to jest el Dorado dla cyber-przestpców.

    • Prezesi dużych firm mają pieniądze w funduszach do których zwykły śmiertelnik nie ma dostępu. Oni się nie boją o dostęp do ich finansów, nawet jeśli ktoś zdobyłby ich dane -fundusz w razie czego dzwoni do takiego klienta że ktoś próbuje wykonać podejrzaną operację, albo próbować zrobić to zdalnie. A cała reszta maluczkich? A kto by się tym przejmował.

  25. Z jednej strony (w końcu) piętnujecie używanie PESEL jako hasła przez firmy, a z drugiej oczekujecie od operatora żeby zapewniał ochronę konta i pieniędzy w banku. To że banki opierają swoje bezpieczeństwo na kartach SIM to problem banków a nie operatora. Przecież nie do tego jest przeznaczona ta usługa. Zresztą telefon można zgubić i wtedy bank powinien mieć odpowiednią procedurę zapewniającą bezpieczeństwo, a nie że przychodzi SMS i już kredyt przyznany.
    Oczywiście zgadzam się z tym, że uzyskanie duplikatu karty SIM powinno być lepiej ogarnięte, ale nie zrzucajmy odpowiedzialności za pieniądze w banku czy utratę konta email na operatora.

    • Jeżeli operatorzy uważają że są za słabi żeby z ich pomocą zabezpieczać konta bankowe to niech to oświadczą na swoich stronach że są niekompetentni i twoja komunikacja może zostać bez trudu przejęta przez obcych ludzi. Kradzież karty SIM to nie tylko włam ndo banku. Można wysłać z twojego numeru telefonu do dyrektora typu “zawsze chciałem ci to powiedzieć że jesteś …ujem i jutro rezygnuje z pracy. A przy okazji od miesiąca dymam twoja żonę”.
      Kradzieżą SIM to nie tylko problem z bankiem. I do tej pory każdy operator zabiegając o moje względy mówi jaki to on jest hi tech, safe and secure.

    • Takie same wyznania można wysłać za pomocą listu poleconego. A sytuację z umieszczaniem informacji bym odwrócił, niech banki napiszą na stronie, że Twoje pieniądze są zabezpieczone tylko za pomocą karty SIM. Skoro są takie high tech i safe.

  26. W Mobile Vikings trzeba wysłać maila z adresu zarejestrowanego w systemie, podając w nim PESEL. Cóż, wydaje się to lepsze, niż to co oferuje T-Mobile.

    https://mobilevikings.pl/pl/help/wymiana-karty/what-do-i-need-to-do-if-my-sim-card-is-stolen-or-lost/

    • Serio opierać bezpieczeństwo na adresie nadawcy maila, czyli czymś co od samego początku Internetu można było ekstremalnie łatwo sfałszować i nadal jest nagminnie fałszowane (np. przez spamerów)?

  27. Może jednak to “serwisy niezależne od operatorów” mogłyby wziąć pod uwagę, że numery telefonów są i raczej będą przechwytywalne? A jeśli chcą by były nieprzechwytywalne, to może operatorom powinny coś płacić za uszczelnienie i uzyskać od nich umowę z gwarancjami?

  28. Firmy telekomunikacyjne martwią się tylko o to aby ich klienci chcieli nadal korzystać z ich usług. Po co komplikować procedurę wymiany karty sim skoro pewnie w 99,99% przypadków wszystko jest ok – klient może się zdenerwować i przejść do innej sieci. Operatorzy nigdy nie obiecywali bankom i innym podmiotom, że będą dbały o bezpieczeństwo ich klientów.
    Czy jest sens zmieniać operatora? Nie ma gwarancji, że procedura u nowego operatora jest bezpieczniejsza. Nawet jeśli dzisiaj jest bezpieczniejsza to jutro może się to zmienić. Do tego zawsze istnieje ryzyko przekupienia pracownika, albo pojawienia się usługi takiej jak ta w USA:
    A Hacker Got All My Texts for $16
    https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

    Trzeba rozważyć inne opcje jak zapewnić sobie bezpieczeństwo.

    Banki
    1) Można z kodów sms przejść na autoryzacje mobilną. Aplikacja mobilna i autoryzacja mobilna ma swoje własne ryzyka, które są całkiem nieźle omówione w tym filmie: ThreatMark – Mobile Banking Malware (Webinar)
    https://www.youtube.com/watch?v=0qrDuTq3Rzk
    Dodatkowo ważne jest to jak w danym banku działa procedura zmiany metody autoryzacji z mobilnej na kody sms oraz procedura odzyskiwania hasła były bezpieczne. Ważne aby te procedury nie miały luk umożliwiających przejęcie konta, dzięki przejęciu kontroli nad numerem telefonu klienta.
    2) Można nadal korzystać z kodów sms, ale za każdym razem po skorzystaniu z bankowości internetowej zablokować ten kanał dostępu. Większość banków umożliwia taką blokadę poprzez serwis transakcyjny i/lub infolinię. W takiej sytuacji przejęcie numeru telefonu nie stwarza żadnego zagrożenia. Niewygodne, ale bardzo bezpieczne.

    Konta online
    – wybrać inne metody autoryzacji niż kody sms np. push notifications, aplikacje typu Google Authenticator, a jeszcze lepiej kupić dwa klucze bezpieczeństwa U2F,
    – wybrać inną metodę odzyskiwania hasła niż kody sms np. Tutanota email – z powodu bardzo bezpiecznej procedury odzyskiwania hasła, najlepiej trzymać taki email w tajemnicy,
    – jeśli nie jest dostępna inna metoda autoryzacji i odzyskiwania hasła niż kody sms, a konto jest bardzo wartościowe to można użyć inny numer telefonu, który trzymamy w całkowitej tajemnicy. Wtedy najlepiej używać telefon dual sim.

    • A co ze Tradycyjnymi Kartami zdrapek

  29. Czy jeśli mam abonament w T-Mobile to odpięcie numeru telefonu od kont również jest zalecane?

    • Tak. Bo jak widać z relacji ludzi, konsultanci TMobile są nieprzewidywalni i niektórym udaje się ten numer co zrobiła ekipa NBZ i ich czytelnik nawet na abonamencie

  30. W sumie, zainteresowałam się tematem, bo jestem w Heyah. Pani mi powiedziała, że po primo: w mojej usłudze (Heyah01) oraz ofertach w miksie i na abonament w T-Mobile taka procedura jest niemożliwa przez infolinię i trzeba osobiście podreptać do punktu. Po drugie, dostałam też info, że przy duplikowaniu numerów na kartę, powinni w teorii zadawać pytania zabezpieczające dotyczące karty (kwoty doładowań, uruchomione pakiety, stan konta)

  31. Czytam i nie wierzę!

  32. Jakiś czas temu wyrabiałem duplikat karty sim w T-Mobile w abonamencie. Abonament jest na mamę, ale od początku korzystam z niego ja.
    Udałem się do salonu z napisanym przeze mnie pełnomocnictwem podpisanym przez mamę do wyrobienia karty sim, i to wystarczyło, bym z miejsca dostał duplikat.

    W sumie byłem zdziwiony, że takie pełnomocnictwo wystarczy. Zawarty w nim był PESEL mamy i nr dowodu oraz podpis(oczywiście prawdziwy), ale nie wiem czy choćby ten nr dowodu był konieczny i bez niego też bym nie dostał duplikatu. No a podpis to wiadomo.

  33. Ehh, parę miesięcy temu poszedłem po duplikat sim do salonu Orange. Numer zarejestrowane na firmę żony.
    Celem weryfikacji musiałem podać “tajny” nip firmy i “tak samo tajny” adres zarejestrowanej działalności. Nawet maseczki nie ściągałem, a nie wyglądam w niej na kobietę. w 10 minut miałem kartę sim w kieszeni.
    Brawo Orange

    • Błąd pracownika, zgodnie z obecnie obowiązującymi nas procedurami (minimum od 2 lat) do takiej wymiany nie powinno absolutnie dojść.

  34. Ja w zeszłym roku “bujałem” sie w T-Mobile z przepisaniem numeru na kartę który używałem a który był zarejestrowany na moją siostrę, na mnie. Co wizyta w salonie i rozmowa z konsultantem to inna bajka. Nawet miałem sytuację kiedy konsultant w salonie nie przyjął pisemnej zgody mojej siostry na przeniesienie na mnie numeru ponieważ “podpis został wykonany czarnym długopisem”. Jakość obsługi do luftu, procedury niejasne i z lukami, obsługa niekompetentna (przy okazji się dowiedziałem, że dzwoniąc do BOK rozmawiamy z losowym konsultantem z jednego z salonów T-Mobile w Polsce a nie z “centralą”). Ogólnie udało mi się przenieść w 4 salonie – trafiłem na świeżaków, którzy wszystko zrobili od ręki… od razu przeniosłem się do innej sieci…

  35. A wystarczyłoby wymagać podania kodu PUK przy próbie wyrobienia duplikatu. Proste i skuteczne, stosowane przez innych operatorów.

  36. Dziś otrzymałem duplikat. Internet na firmę, telefon na infolinie, potwierdzenie pesel i automatyczne połączenie z konsultantem. Mówię, że chodzi o aktywacje nowej karty do internetu bo starą zgubiłem. I to wszystko po 30 minutach karta działała.

  37. Nie rozumiem czemu odpowiedź biura prasowego T-Mobile może się komuś wydawać niewystarczająca. Przecież wprost napisali, że “wsłuchują się w głosy swoich klientów”, tym samym potwierdzając Wasze podejrzenia, że AI wyryfikuje głos rozmówcy na linii :)

  38. Wniosek może być jeden: od T-Mobile należy trzymać się z daleka.

  39. Numerem PESEL weryfikowana jest tożsamość w firmach windykacyjnych.

    Numerem PESEL jest też “szyfrowana” elektroniczna korespondencja reklamacyjna w bardzo wielu firmach, można rzec że to standard.

  40. T-Mobile powinno w takiej sytuacji automatycznie zwracac calosc wykradzionych pieniedzy, odszkodowanie i koszty wlasne, odpowiadajac jako WSPÓŁSPRAWCA ewentualnych wyludzen i oszustw… Ich dzialanie to praktycznie dokladna analogia osoby ktora oplacono zeby zostalila otwarte okno w budynku ktory okradziono – bo to jest ewidentny przyklad “willful ignorance” (pojecie ktore istnieje w bardziej cywilizowanych krajach, oznaczajace mniej wiecej tyle, ze kiedy policja zlapie cie na robieniu czegos w oczywisty sposob zlego czy/i niezgodnego z prawem “ale ja nie wiedzialem” nie wystarczy…).

    Z tego co rozumiem na oryginalnie sytuacja prawna nie byla moze jednoznaczna, bo operator nie byl odpowiedzialny za potwierdzenie tozsamosci, ale to sie zmienilo kiedy (w interesie operatorow) przepchnieto przypisywanie danych osobowych do numerow telefonicznych ze wzgledow “terrorystycznych”, gdzie nawet bez tego umowa zawarta miedzy klientem a operatorem nie daje mu prawa do udostepniania numeru i powiazanych danych osobom do tego nieuprawnionym…

  41. Ja do tmobila wysłałem pismo z żądaniem aby weryfikowali mnie tylko po haśle abonenta, przez jakiś czas działało. Dzisiaj się z nimi kontaktuje, a konsultant normalnie mnie obsłużył bez podania przeze mnie ani hasła ani peselu (tylko po kodzie z sms). Na koniec rozmowy sam zapytałem dlaczego nie pytają o hasło to dostałem info, że nie mają takiej informacji w systemie!!! Także magicznie wyparowała informacja z systemu.

    Do logowania do MIBOA (strony do zarządzania usługami z Tmobile) poza kodem sms miałem ustawiony swój PIN jako weryfikacja 2 etapowa. Od jakiegoś czasu PIN też magicznie wyparował i nie wymagają go podczas logowania. Śmiechu warte takie zabezpieczenia jak same znikają

  42. > Można sobie zespoofować, czyli ustawić dowolny numer telefonu, dowolnej osoby i z niego do kogoś zadzwonić
    Czy aby na pewno? W tym przypadku dzwonimy do operatora! Oprócz Caller ID operator wie, skąd realnie jest inicjowane połączenie tzn. z jakiej sieci, przez który styk międzyoperatorski itd. Lewe bramki VoIP podstawiające dowolny numer zostałyby wykryte. To zwykły zjadacz chleba tego wszystkiego nie wie i musi polegać wyłącznie na Caller ID.

    • I sądzisz, że infolinie mają systemy, które to wszystko pokazują na każde życzenie konsultanta?
      Głowę daję, że konsultant może zobaczyć tylko CallerID, tak samo jak zwykły smiertelnik.

  43. Częściowo zgadzam się z T-Mobile, że priorytetem powinna być możliwość bezproblemowego odzyskania utraconego numeru. W T-Mobile można to uczynić nawet w niedzielę niehandlową. Kupujesz starter np. w Żabce, dzwonisz na infolinię i już możesz korzystać ze swojego numeru. Warto jednak dodać jakiś kolejny składnik oprócz PESELa np. numer pod jaki zostało wykonane jedno z ostatnich połączeń etc. Plus odzyskanie numeru powinno być możliwe tylko przy użyciu startera zarejestrowanego na ten sam PESEL co numer, który odzyskujemy. A zarejestrować starter bezproblemowo można w Żabkach i innych miejscach, gdzie są sprzedawane. Proste, nadal bardzo wygodne dla klienta i choć odrobinę bardziej bezpieczne :)

    • Krzysztofie, ty masz moze 5 lat czy lobbujesz w imieniu swiata przestepczego i obcych wywiadow?

      Jak wyjasniono w artykule i wielu komentarzach, numer pesel NIE NADAJE SIE DO BEZPIECZNEJ IDENTYFIKACJI OSOBY bo jest w tym wzgledzie tylko troszke lepszy od *absolutnie szczerych zapewnień*. Dokladanie kolejnego pseudo-zabezpieczenia w postaci jakiegos magicznego(?) numeru (jak…) moglo by powiedzmy zabezpieczac to, ze zamowiony i oplacony obiad trafi do wlasciwych rąk – ale jest idiotyzmem o jednoznacznie zlosliwym zabarwieniu jesli rozwazamy zabezpieczenie w ten sposob tranzakcji gotowkowych i majatkowych O NIELIMITOWANEJ FORMIE I WIELKOSCI mozliwej do przeprowadznia w DOWOLNYM czasie!!!

    • Ps. Sugeruje powtorzenie edukacji w zakresie matematyki na poziomie szkoly podstawowej – twoja propozycja sugeruje brak zrozumienia operacji matematycznej jaka jest mnozenie…

      Alternatywnie, mozesz sprobowac przeleciec sie samolotem ktorego wszystkie krytyczne podstawowe komponenty charakteryzuja sie szansa awarii rzedu 1% na godzine – powinno sie szybko wyjasnic…

    • @WkurzonyBialyMis90210: Pisząc o “…zabezpieczenie w ten sposob tranzakcji gotowkowych i majatkowych O NIELIMITOWANEJ FORMIE I WIELKOSCI…” zahaczyłeś o ciekawy temat. Banki i inne instytucje zaczęły używać usługi SMS jako drugiego składnika w uwierzytelnieniu transakcji. A usługa SMS nigdy nie była projektowana w takim celu. Została stworzona, aby przesyłać powiadomienia o nowych nagraniach na poczcie głosowej. Nie zapewnia należytego poziomu bezpieczeństwa, aby uwierzytelniać w sposób bezpieczny przelewy, operacje w e-Administracji etc. Do tego celu powinny być używane inne metody np. token sprzętowy, eDowód etc. Banki często stosują appkę, zamiast SMSa ale to również jest słabe, gdyż do aktywacji appki wykorzystywane jest połączenie przychodzące/sms więc w przypadku przejęcia naszego numeru również znajdziemy się w nieciekawej sytuacji.

    • @Krzysztof W niemieckim Deutsche Banku do logowania sie na koncie i zlecania przelewow na komputerze wykorzystywany jest token w formie kolorowych kropek. Wyglada to tak (prosze usunac spacje)
      https://proboard. beaverjet. ru/imgOIP.ikauENDPNXNsa2BgbBvk9wHaEE

      Na telefonie instaluje sie aplikacje, poczta przychodzi list z kolorowym wzorem i ten wzor skanuje sie ta aplikacja aby ja aktywowac. Potem przy robieniu przelewow na ekranie wyswietla sie kolorowy wzor jak na powyzszym zdjeciu, aplikacja skanuje sie ten kod, generuje sie jednorazowy liczbowy kod i ten kod nalezy przepisac na stronie banku aby autoryzowac przelew. Ostatnio zmienialem telefon i musialem na nowo instalowac program do generowania kodow. Jaka byla moja panika, gdy nie moglem znalezc listu z banku sprzed 9 lat z tym kolorowym kodem, a bez niego nie moglbym aktywowac aplikacji.

  44. Od strony współpracy z t mobile, przynajmniej tej biznesowej wyglada to tak, ze około rok temu były zwolnienia i pozbyto się spora ilość pracowników. Od tego czasu jakość obsługi spadła drastycznie. Również nastąpiła duża ilość bardzo kosztownych nieporozumień i niedopatrzeń. Ta sytuacja nie jest przypadkiem i z czegoś wynika :)

  45. Ciekawe jak zakończyła by się sprawa jeśli ofiara ataku SIM swap, przez takie właśnie zaniedbanie ze strony operatora, wniosłaby o odszkodowanie i zadośćuczynienie ;)
    Gdyby inaczej się nie udało dogadać to nawet do sądu.

    • A to jedna taka sprawa jest w toku?

  46. Sprawdziłem i aby wyrobić duplikat karty sim firmy wystarczy podać numer NIP i kilka danych firmy. Tym sposobem można przejąć numer prawie każdej firmy z sim Tmobile.

  47. Ja kiedyś miałem Internet z T-Mobile, ale umowa nie była na mnie, tylko na firmę znajomych. Kiedyś Internetu nie działał, nie łączył się, ani nic. No to dzwonię ze swojego numeru na infolinię i T-Mobile i mówię, że mam taki, a taki problem. Ale nie znam numery PESEL, ani hasła abonenta.
    I co, wystarczyło podać nazwę firmy, NIP i adres i…
    Miałem dostęp do wszystkiego, co T-Mobile może zrobić dla swojego klienta. Mogłem wyrobić duplikat karty, zamówić dodatkową kartę, telefon, wszystko…
    Także, sieć na poziomie…

  48. Jako osoba z wewnątrz potwierdzam, pół dnia skrzynkę zalewały mi informacje o uszczelnieniu procedury wymiany karty, a drugie pół spędziłem na ponownym przejściu szkolenia z ochrony danych… Nie wiedziałem, ze to Wasza sprawka. Dzięki! ;)

  49. @Niebezpiecznik – tak z ciekawości, jak zakupiliście starter bez rejestracji? Od kiedy jest obowiązek rejestracji wszystkich telefonów, to chyba przy zakupie każdego startera trzeba podać swoje dane, nie można już mieć czegoś takiego jak niezarejestrowany starter. Tak przynajmniej mi się zawsze wydawało…

    • Kupno starteru nie wymaga jego rejestracji, chociaż do czasu rejestracji nie da się jego używać. Rejestracja jest możliwa na przykład przez stronę internetową banku. Innymi słowy nie ma co dawać swoich danych w kiosku ruchu.

  50. Przemek czyli pisanie prawdy jest nieodpowiedzialne bo można by nakłamać w artykułach dając złudne poczucie bezpieczeństwa które tak naprawdę nie istnieje? Matkę z roboty pod lasem odebrałeś, białe plamy wyczyściłeś?

    PESEL nie jest tajna dana i już. Przestępcy mają jak je pozyskiwać i koniec.
    Starasz się powiedzieć, że jakby ludzka powiedzieć, że “zamek w drzwiach” nie chroni przed zdeterminowanym złodziejem to ludzie zaczęliby byle komu dawać kopie swoich kluczy? Stwierdziłby: nie zamykajcie mieszkania na klucz bo przestępca może łatwo poradzić sobie wytrychem. Nie właśnie tak jak w przypadku PESELu tak i w przypadku zwykłego zamka do drzwi można je używać do ochrony małych rzeczy jak telewizor, lodówka, faktury z prąd, 15000 zł trzymanych pod ręką na wypadek gdyby były potrzebne szybko na jakiś drobny wydatek a bank miał awarie itd. Rzeczy na których ci nie zależy albo które można w miarę tanio ubezpieczyć tak żeby włamanie i kradzież nie była problemem.
    Ale jeżeli jesteś rozsądny to nie możesz chronić PESELEM/zwykłym zamkiem np. oszczędności całego życia albo dokumentów których strata spowodowałaby u ciebie bardzo kosztowne straty. A właśnie karta SIM pod taką kategorie wpada bo daje dostęp do twojego banku.

  51. To nie koniec komedii – widział ktoś z was eBOK w T-Mobile? Jeśli masz tam abonament, to w umowie jest seria i numer dowodu osobistego, który tez jest prezentowany w e-BOK. Co jest potrzebne do zalogowania? Jedynie numer telefonu i kod SMS, nic więcej.
    Zgubisz telefon albo ktoś sobie wyrobi duplikat Twojej karty = ktoś może dostać *wszystkie* Twoje osobiste dane przez e-BOK.

    • Cos takiego jest w wielu systemach self care. W Plusie, Cyfrowym Polsacie, ubezpieczalniach np InterRisk i wielu wielu innych miejscach.

  52. Moim zdaniem wymiana karty SIM w systemie zdalnym w ogóle nie powinna mieć miejsca. Po to operatorzy budują sieć swoich placówek żeby z nich korzystać. Oczywiście są jeszcze operatorzy infrastrukturalni bez swojej sieci sprzedaży face to face i tylko oni powinni mieć odpowiednie procedury pod wymianę sima zdalnie. Duże opy – tylko salon. Jak komuś zależy to i te 30km zrobi żeby ogarnąć sobie duplikat.

  53. Najpierw zaoferujmy kurs technik osintowych szkoląc złodzieji a później bedziemy mieli tematy do opisania jak można obejść to czy tamto zdobywając dane wrażliwe… Pominiemy tylko fakt, że te dane zdobyć mogą osoby, które obslugujemy sami w kursie ucząc ich tego… Super wiarygodny portal haha nie dziwię się, że konsultantka zlała typa na czacie jak się powalał na tą stronę :)

    • Aż przykro czytać, jak bardzo nie masz pojęcia o czym piszesz.

    • @Bolek
      Jesli uwazasz, ze obejscie braku rzeczywistego zabezpieczenia jest czyms w czym trzeba kogokolwiek szkolic, to jestes zbyt glupi zeby wypowiadac sie publicznie wiec łaskawie daj sobie na wstrzymanie “Bolek”…

  54. Nardzo prosilbym o analize porownawcza jak sytuacja wyglada u innych operatorow. Potwierdzenie ze u jednego wyglada zle wcale nie ulatwia stwierdzenia czy moj operator ma to zabezpieczone ani nie ulatwia osobom z tmobile wyboru nowego operatora.

  55. A jak się ma przejęcie numeru karty SIM z tym że do logowania do banku użyta została autoryzacja poprzez aplikację mobilną, nie SMS tylko podanie PINU w aplikacji w czasie logowania do banku? Więc teoretycznie pomimo posiadania przejętego numeru telefonu nie da się zalogować do banku bo aplikacja w telefonie (który jest w kieszeni właściciela) będzie żądała PINU (jeśli jest się w zasięgu wifi, jak przejmą kartę to Internetu mobilnego już nie mam). Jest możliwość sprawdzenia przez fachowców scenariusz gdzie z przejętym numerem karty SIM jest próba odłączenia logowania poprzez aplikację mobilną i powrót do SMS?

    • Zapominasz o tym jak wygląda ścieżka podpięcia aplikacji mobilnej do rachunku w niektórych bankach. Spoiler: bazuje na SMS/rozmowie przychodzącej. Przeczytaj podlinkowane artykuły (te z rozdziału o tym jak inni oszukali T-Mobile) – tam opisaliśmy ten schemat stosowany już 3 lata temu.

    • Może źle się wyraziłem. Schemat przejęcia konta bankowego metodą duplikatu SIM to rozumiem, przejęte login, hasło a kody SMS do logowania idą na nową kartę SIM.

      A co w przypadku gdy aktualna metoda logowania to hasło + autoryzacja w aplikacji mobilnej (nie kody SMS). Teoretycznie nawet jeśli ktoś ma duplikat SIM i hasło się nie zaloguje na stronę bo aplikacja bankowa na telefonie właściciela będzie żądać potwierdzenie tej operacji, a jak się nie zaloguje to teoretycznie nie zmieni metody logowania na hasło + SMS. Jedynie musiałby zmienić sposób logowania na hasło + SMS przez infolinię, bo przez stronę banku tego nie zrobi, bo się nie zaloguje bez potwierdzenia na aplikacji mobilnej.

      Ponad rok temu miałem sytuację gdzie moja aplikacja bankowa się wysypała, ani logowaniem, ani przelewy (wieczne kółko ładowania i nic) a nie mogłem się zalogować na stronę banku (gdzie chciałem zmienić sposób logowania, odpiąć aplikację i na nowo przypiąć) bo nie mogłem zrobić autoryzacji operacji że się loguję na stronę banku bo aplikacja się wysypała. Musiałem resetować sposób logowania.

      Już nie pamiętam weryfikację przez telefon, trudna nie była, to wiem teraz, że banki wprowadzają zestaw kilkunastu pytań i się wybiera 5 gdzie przy resecie sposobu logowania musi się odpowiedzieć poprawnie na 3 pytania. Nie wiem jak w innych bankach, ale tak można ustawić w Santander.

  56. Brawo Niebezpiecznik!

  57. Oto odpowiedź z biura obsługi T-Mobile z 19 czerwca na mojego maila:
    Uprzejmie informuje, że proces opisany przez media jeśli chodzi o wymianę kart sim dotyczy tylko i wyłącznie użytkowników numerów na kartę.
    W przypadku klientów indywidualnych i osób prowadzących własną działalność gospodarczą proces zamówienia duplikatu karty sim jest inny.
    Oczywiście w ramach weryfikacji tożsamości konsultant ma obowiązek zapytać o numer pesel/hasło abonenckie oraz dodatkową informację dotyczącą konta klienta.
    Niemniej jednak karta sim zamawiana drogą telefoniczną według opisanej wyżej procedury wysyłana jest do klienta droga kurierską.
    Kurier ma obowiązek zidentyfikować tożsamość odbiorcy w związku z czym tylko i wyłącznie właściciel jest osobą uprawnioną do odbioru karty sim.

    Nie ma wobec tego możliwości aby przesyłka z kartą sim trafiła do rąk nieupoważnionych.

    Jeśli jednak dalej obawia się Pan o swoje bezpieczeństwo usług/danych możemy wprowadzić na konto weryfikację jedynie na podstawie hasła abonenckiego.

    W tym przypadku na nasz adres e mail należałoby wysłać skan/zdjęcie pisma z własnoręcznym podpisem na adres e mail boa@t-mobile.pl

    Podpis będzie weryfikowany z tym na umowie.

    W piśmie należy zawrzeć następujące dane

    : imię, nazwisko – nazwę firmy ( jeśli jest to firma )
    : numer telefonu na którym ma być wprowadzona zmiana ( jeśli dotyczy to całego konta klienta należy wpisać taką informację )
    : prośbę o weryfikację konta/ dokonywanie zmian tylko i wyłącznie na podstawie hasła.

    Jeśli chce Pan aby weryfikacja odbywała się na podstawie utworzonych już haseł do konta – wyżej wymienione informacje wystarczą.
    Jeśli jednak nie – bardzo proszę o informację jakie hasło ma być utworzone do konta – powinno się składać z 8 cyfr.

    • Firma kurierska nie gwarantuje nic, pomijajac proze zycia codziennego (kurierzy notorycznie zlewajacy poprawna weryfikacje) Tiiii moze sobie taka bankrutowac i wymieniac na nowa co tydzien umywajac rece w kwestii bezpieczenstwa pilnowanego przez ludzi wybranych (najprawdopodobniej) przy pomocy kryterium: “a dalo by sie jeszcze taniej?”

      Po drugie roznice w kwestiach bezpieczenstwa pomiedzy klientami gorszej (karta) i lepszej (biznes, abonament) kategorii – sugeruja, ze firma jest ewidentnie swiadoma problemow z bezpieczenstwem ale swiadomie ryzukuje bezpieczenstwem “karciarzy” w ramach oszczednosci (bezpieczne sposoby potwierdzenia, ze mamy do czynienia z klientem sa drozsze niz pesel – swoja droga cala kwestia kosztow serwisowania klientow byla swietnie wyjasniona w odniesieniu do emaili, przy okazji wciskania wszedzie numerow telefonu wlasnie) — jak dla mnie to wystarczy by powiedziec “wspoludzial”, bo w takiej samej sytuacji jest sprzedawca dowodow kolekcjonerskich, on nie wie – tylko pieniadze tak jakos wieksze…

  58. Ja za to mam kolejna ciekawostke z T-Mobile. W aplikacji Moj T-Mobile zachecaja do podania adresu email i nadania hasla w celu latwiejszego logowania. Po czym okazuje sie, ze od kilku miesiecy logowania emailem juz nie umozliwiaja. Sprobujcie redakcjo N!

    W efekcie zbieraja emaile i hasla w celu, ktorego nie realizuja. Taka baza istnieje nie wiadomo po co, a skoro istnieje to moze w kazdej chwili wyciec.

    • “nadania hasla” w sensie emisji kanałami radia/telewizji publicznej…?

      Czy moze chodzilo ci o “pobruszenie hasla”, ać my będziem poczywać :p
      (taki uprzejmy zarcik, furtka, ktorą sugeruje ze powodem bledu jest omawianie kwestji technicznych w jezyku do tego nieprzeznaczonym – cos jak eskimoski zart dotyczacy wyzszosci 5 z 40 rodzajow sniegu, przetlumaczony na jezyk polski)

  59. Nigdy nie udało mi się wymienić karty bez wizyty w salonie i podaniu hasła do umowy, niezależnie od tego czy wymianę inicjowałem w punkcie czy przez telefon. Zawsze hasło + dowód, a jeżeli w czyimś imieniu to przedtem w salonie musiałem mieć wyrobione pełnomocnictwo.
    BTW. Prepaid to jest ,,gorsza” karta, tylko u nas niezmiernie popularna. Zagramanicą prepaid zawsze był niepełnowartościowy w stosunku do karty abonamentowej i używanie go do czegoś innego niż rozmowy, SMS, Internet to było proszenie się o problemy.

  60. Na stronie Viking Mobile jest również niepokojący opis procedury wyrobienia duplikatu karty lecz nie weryfikowałem go w rzeczywistości. Mam nadzieję, że dane przesłane na emaila są weryfikowane z danymi faktycznego właściciela.

  61. A mnie ten sposób weryfikacji uratował swój numer jaki posiadałem od bardzo dawna. Musiałem zrezygnować z abonamentu w Tmobile i przejść u nich na kartę. Złożyłem wypowiedzenie z informacją ze przechodzę u nich na kartę (przy okazji w salonie wymieniłem kartę SIM na nanao). Nowej karty SIM nie przypisano od razu co już powinno wzbudzić moje zaniepokojenie, ale czekałem do casu zakończenia umowy. Po upłynięciu czasu wypowiedzenia rano okazało się ze mój nr jest głuchy restart telefony nie pomagał zamiana kart SIM z nowej na starą tez nic. I teraz tak w salonie powiedzieli mi ze jednak nie przenieśli mnie na kartę, bo coś tam i nie da się tego odkręcić. Na szczecie, nie wiem jak, na czacie na ich stronie wytłumaczyłem konsultantce w czym rzecz, wystarczył mój PESEL i nowy nr karty sim którą od nich dostałem, po 5 minutach mój nr odżył, po następnych 5 minutach już przechodziłem do innego operatora. Gdyby dokładniej mnie weryfikowali to pierwsze nie dodzwonili by się do mnie ( nr wyłączony) Hasła abonamentowego po 10 latach już nie pamiętałem. W salonie nie zrestartują go, bo już nie jestem ich klientem.

  62. Tmobile jest śmieszny, na pytanie w jakim celu udostępniają nr dowodu osobistego w MiBOA odpowiedzieli, bo im prawo nie zabrania!!!
    2FA do logowania nie wymagają, bo prawo od nich tego nie wymaga. Nic tylko zasłanianie się przepisami, gdzie chyba sami nie wiedzą po co ten nr dowodu osobistego wyświetlają.

    A na prośbę weryfikacji po haśle abonenta odpowiedzieli, że ok podczas rozmowy telefonicznej i wizyty w salonie będą go wymagać, ale podczas rozmowy na czacie już nie, bo “prawo tego od nich nie wymaga”. Co dziwne, bo kilka miesięcy wcześniej normalnie na czacie pytali o hasło abonenta, a teraz niby takiej możliwości nie ma :|

    • W Orange, po zalogowaniu na ich stronie, mam nie tylko numer dowodu, ale i PESEL. Po co? Też nie wiadomo.

  63. Pisałem wczoraj na czacie t-mobile, że nie życzę sobie wydawania duplikatu SIM w innej formie niż w salonie. Pani na czacie powiedziała, że zrobiła taką adnotację w systemie. Może rzeczywiście to już działa.

  64. Ciekawe czy ktoś z Was zwrócił uwagę na to, że fakt rejestracji karty na nazwisko X nie jest równoznaczny z tym, że pan/pani X jest jej posiadaczem/właścicielem?

    Obowiązek rejestracji dotyczy tylko pierwszego użytkownika, służy zgodnie z prawem WYŁĄCZNIE zwalczaniu terroryzmu, a zakazu wtórnego obrotu takimi kartami nie ma. Sam posiadam taki numer i nie wyobrażam sobie, by komukolwiek, włącznie z jego poprzednim właścicielem wydano duplikat karty SIM. Karty pre-paid są zbywalne, zbycie nie jest rejestrowane i wydanie duplikatu takiej karty NIE powinno być MOŻLIWE na podstawie jakichkolwiek innych danych, niż fizyczne okazanie karty.

    Może czas zacząć zwracać uwagę nie tylko na stronę techniczną, ale i na stronę prawną? Czy od tej strony telekomy mają w ogóle prawo do użytkowania danych rejestracyjnych pre-paidów? Moim zdaniem nie bardzo.

    • Co mogę powiedzieć – zmień swoje wyobrażenia. Poruszyłeś ciekawy temat
      1. Wiemy już że osoba na którą pierwotnie zarejestrowana została karta może wyrobić jej duplikat u dowolnego operatora
      2. Wiemy też że skoro ja kupiłeś to sprzedający ma jakiś punkt zaczepienia odnośnie Twojej osoby jak np adres email.
      3. Niskim nakładem kosztów sprzedający moze na bieżąco monitorować gdzie pojawiają się pozyskane o Tobie dane… A dalej to patrz pk. 1

  65. Wystarczy pójść do apteki, by uzyskać czyjś pesel. Tam są co chwila cytowane.

  66. Część konsultantów T-mobile to firma zewnętrzna z Białej Podlaskiej. Niektórzy pracują tam tylko dorywczo.

    • Skąd ta informacja?

  67. Hasło abonenckie nie jest żadnym zabezpieczeniem z protego powodu. Można je nadać, zresetować, zmienić znając PESEL ;]

  68. Panom Redaktorom przypominam, że PESEL jest daną osobową i jako taka podlega pod wszystkie ograniczenia RODO. PESEL powinien być chroniony przez jego posiadacza tak mocno, jak to tylko możliwe, gdyż jego nieautoryzowane użycie naraża posiadacza na straty. Już na pewno nie powinno się podawać pary informacji: PESEL i Nr dowodu tożsamości, gdyż… kto wie ten pamięta o tym.

  69. […] przechwycenie rozmów telefonicznych, bo niektórzy operatorzy autoryzują operację tylko po PESEL-u… (por. Jak przejąć czyjś numer telefonu w T-Mobile poprzez wyrobienie duplikatu karty SIM podając sam P…) […]

  70. Mimo ze numer mam na firmę, mimo ze nakazałem zaprzestania weryfikacji po pesel wczoraj poprawnie zweryfikowałem się automatycznie przy użyciu nr pesel zamówiłem i aktywowałem dwa numery.. czyli w 2 dni robocze sam sobie ukradłem telefon.. Teraz zakładam sprawę gdyż mimo nakazów i przepisów obi na to mamy swoje procedury… macie dostosować je do przepisów albo wypierdalac !!!

    Ps. Test zrobiłem dlatego.. bo w zeszłYm tygodniu właśnie dzięki duplikatowi karty w t-gownie koleżance ktoś wyczyścił konto .. 20k odparowało.. oczywiście przecież to nie ich wina… ale to oni wydali duplikat na telefon.. gdzie kartę wysłali kurierem .. do Irlandii

  71. […] są znaczne. Świadomość problemu niby rośnie, a z drugiej strony co jakiś czas trafiamy na luki w procedurach wydawania kart SIM. Pisaliśmy kiedyś o tym, jak to w Mozambiku systemowo rozwiązano problem tzw. SIM swapingu, ale […]

  72. Wystarczy usiąść w aptece i posłuchać jak ludzie dyktują Pesel aby wykupić recepty.

  73. […] W tym przypadku dane są kompletne. To nie jest “byle” wyciek. Totolotek nie przekazał żadnych praktycznych porad ofiarom, a ryzyka są w naszej ocenie poważne. Z tymi danymi łatwiej można wyłudzić pożyczki lub skraść tożsamość i przejąć konta w różnych systemach (do generowania duplikatów kart SIM włącznie). […]

  74. […] uwierzytelnić się i autoryzować zmianę w kontekście kogoś innego lub pozyskać jego dane. Znamy masę takich przykładów, bardzo groźnych dla prywatności i bezpieczeństwa Plaków. Najwyższa pora coś z tym zrobić. Przykładowo, po tym incydencie Konfederacja nie będzie już […]

  75. Czy coś wiadomo już o zmianie procedur w T-MObile ?? Jakieś zmiany procedur – ktoś to weryfikował ??

  76. […] push z apki przekierować się nie da, nawet jeśli złodziej wykona duplikat Waszej karty SIM. Przy autoryzacji SMS (znając login i hasło ofiary) wyrobienie duplikatu karty SIM od razu […]

  77. Witam, czy w przypadku wyrobienia duplikatu karty sim i uruchomieniu jej w telefonie, pierwsza karta przestaje działać ? Czy jest możliwość, żeby dwie karty działały w tym samym czasie ?

  78. […] w firmie ubezpieczeniowej, która zabezpieczała dostęp do pliku PESELem klienta, podczas wyrabiania karty SIM na podstawie PESELu. Wspominaliśmy też o GUSie, który za dane wystarczająco tajne uznał PESEL i nazwisko […]

  79. […]  dostawcy usług telekomunikacyjnych nie będą wydawać wtórników kart SIM jeśli PESEL będzie zastrzeżony (por. Masz telefon w T-Mobile? Jeśli ktoś zna twój PESEL, może przejąć Twój numer i kartę SIM). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: