Почты журналистов «Новой газеты» сломали при участии МТС и Билайн

То, о чем многие догадывались с самого начала, получило очередное подтверждение - аутентификация через SMS является важной уязвимостью. Потому что бандитам и правоохранительным органам гораздо проще получить контроль над СИМ-картой российского оператора, чем взломать аккаунт на GMail. Что и происходит - почтовые аккаунты журналистов "Новой" были взломаны путем получения контроля над сим-картами, выпущенными МТС и Билайном:

МТС:

Итак, вернувшись из Риги, я обнаружил, что вдобавок ко всему не работает и мой телефон. Здесь необходимо сделать два отступления. Во‑первых, моя сим-карта была оформлена на друга. Не потому, что я скрывался, а просто так сложилось исторически: он мне ее подарил еще лет 10 назад. Во‑вторых, мой номер телефона был привязан к аккаунту Google в качестве резервного способа восстановления пароля. Это и стало главной уязвимостью.

Я позвонил в компанию МТС, где мне сообщили «радостную» новость. Моя сим-карта и не может работать, потому что еще 14 августа кто-то от имени моего друга позвонил в МТС, назвал его паспортные данные, заявил, что потерял сим-карту, что находится в некоем регионе России, и попросил доставить новую «симку» в этот регион курьером. Здесь важно подчеркнуть, что «симка» была оформлена на старый паспорт, а с тех пор мой друг получил новый. Но мошенники об этом, видимо, знали и не допустили ошибки, а назвали оператору МТС именно старые данные. Значит, у этих людей был доступ к базе сотовой компании.

Курьер вез сим-карту три дня и доставил ее 17 августа. В этот же день и была взломана моя почта. Сделав дубликат моей «симки», хакеры сообщили Google, что забыли пароль и попросили прислать код восстановления на мобильный телефон. Получив код, они сменили пароль и вошли в мой аккаунт.

[...]

У меня, конечно, остаются вопросы к компании МТС. Ну, допустим, это обычная услуга — доставить сим-карту якобы владельцу, который назвал по телефону правильные паспортные данные. Но почему тогда курьер не проверил паспорт заказчика на месте? К сожалению, в компании МТС мою жалобу рассматривают уже две недели и никаких подробностей мне не сообщают. А мне бы очень хотелось узнать: с какого номера поступил заказ, почему курьер не проверил паспорт, по какому адресу осуществлялась доставка? Я все-таки надеюсь, что получу ответы на эти вопросы, хотя бы потому, что сотрудники МТС, полагаю, сами того не зная, способствовали совершению преступления.

Билайн:

Cегодня стало известно, что такая же история случилась и с другим корреспондентом отдела расследований «Новой газеты» — Сергеем Каневым. У него тоже неожиданно отключился телефон. Когда Сергей пришел в офис «Билайн», ему сообщили, что его «симка» не работает потому, что два дня назад «он ее поменял».

Случай Канева — еще хуже, чем мой. Сотрудник «Билайна» не мог поменять сим-карту без паспорта первому встречному. Такому поведению может быть только два объяснения. Безумное: кто-то переоделся Каневым и подделал его паспорт. И реалистичное: кто-то показал такие удостоверения, что страх перед ними заставил сотрудника «Билайна» пойти на подлог.