[Из песочницы] Сказ о том, как Билайн относится к безопасности своих сервисов

Билайн

Информационная безопасность — мое хобби. К сожалению, пока не могу сказать об этом большего. Я не зарабатываю этим на хлеб, нет, я просто исследую то, что мне попадается.

Летней ночью 2015 года, где-то в 4 утра, я как обычно думал о жизни. Внезапно на меня упала мысль: «В реальном мире, где нет биткойнов, никто не отслеживает деньги, все отслеживают только суммы переданных денег». Эта мысль натолкнула меня на очень многое, но в первую очередь — на бонусную программу Билайн.
Небольшое отступление. Бонусная программа от Билайн «Счастливое время» до октября 2015 года работала по следующей схеме:

1) Вы пополняете счет;
2) Получаете до 15% от суммы пополнения как «бонусные рубли»;
3) В следующем месяце можете потратить «бонусные рубли» на многие услуги хотя бы продление пакета интернета. Что в принципе звучит очень заманчиво.

Собственно идея, возникшая у меня в голове, была довольно проста: можно прогонять одни и те же деньги через счет Билайн, получая за это бонусы. Как решение на глаза мне попалось приложение «QIWI кошелек». Есть множество способов пополнения QIWI кошелька, один из таких способов — со счета мобильного телефона. Пойдя на встречу людям, Билайн убрал комиссию за пополнение QIWI кошелька. Думаю, вы уже догадались, что было дальше.

Готовая схема получилась достаточно простой:

1) Пополняем Билайн на любую сумму (осторожно с лимитами);
2) Переводим средства на счет QIWI без комиссии;
3) Пополняем Билайн со счета QIWI без комиссии;
4) Повторяем пока не надоест, оставляя себе бонусные рубли и деньги на QIWI кошельке.

Вышло довольно изящно и просто. А что главное — совершенно бесплатно для пользователя.

Как помешанный на своем человек, нашедший брешь в логике системы, я стал думать: как можно было бы её избежать? Как можно было бы исправить это со стороны Билайн? Спустя минут 30 размышлений пришел ответ: никак! Им придется полностью менять условия бонусной программы. На моем лице в районе 6 часов утра появилась зловещая улыбка.

Так как я являюсь постоянным клиентом этого оператора, я решил помочь ему — эдакий альтруизм, — зарепортив баг в саппорт Билайна. Спустя сутки мне пришел ответ, в котором меня поблагодарили за сообщение о бреши и в благодарность начислили мне на счет «200 бонусных рублей». Не трудно догадаться, что к моменту их ответа, я уже поэкспериментировал на лимиты. 200 бонусных рублей, начисленные мне, не значили для меня ровным счетом ничего. Хорошо, подумал я, ну хоть спасибо сказали. На мой намек о том, что 200 бонусных рублей — это странно за баг о накрутке бонусных рублей — мне ответили, что они уже занимаются проблемой, попросив меня не переживать о Билайн так сильно.

Мораль поста: Я не обвиняю Билайн в жлобстве или чем-то еще, так как они ничего никому не должны. Тем не менее, мне удалось получить примерную шкалу стоимости брешей.

Подтверждено:

1) Баг с бесконечной накруткой бонусных рублей (интернета) — 200 бонусных рублей;

Мои догадки:

2) Взлом сайта компании — 400 бонусных рублей;
3) Слив данных всех клиентов — 500 бонусных рублей.

Помогать данному мобильному оператору с закрытием брешей или не помогать — выбор каждого, и дело не в награде. В моем случае я обязательно помогу им снова, если они хотя бы прислушаются к моим тикетам о зоне покрытия. К сожалению, этого пока не произошло. Но даже несмотря на это, Билайн был и остается лучшим оператором в моем городе, уходить мне от него некуда, остается только ждать.

P.S.: Билайн уже изменил условия бонусной программы. Баг закрыт.

© Geektimes