Foto: TeleSrbija montaža, Yettel, Freepik (pod licencom), Wikimedia Commons
Pre 3 dana, jedan Yettel korisnik pokrenuo je diskusiju na Reddit-u, naslovljenu “CFM SMS prevara”, koja je “protresla” naše viđenje VAS servisa i prevara posredstvom istih.
Podsećamo, pisali smo već o VAS SMS prevarama, u tekstu “Šta su VAS SMS prevare, i kako se zaštititi od uvećanog računa?”
Foto: Screenshot / reddit.com
U objavi na Reddit-u, korisnik je priložio screenshot SMS poruke pošiljaoca “CFM” u kojoj se navodi da je “Mesečna pretplata na Gamecraze, partnera CFM, od 500 RSD [je] uspesno naplacena”. Dalje se u SMS poruci spominje broj telefona za podršku 0113216892.
Korisnik je ubrzo nakon toga spomenuo da je kontaktirao Yettel, koji je prema tvrdnjama korisnika utvrdio da oni vide naplatu, da je u pitanju “inostrana kompanija”, a korisniku je savetovano da direktno kontaktira VAS provajdera kako bi otkazao dalju naplatu, i ponuđeno mu je da Yettel izvrši blokadu naplate svih VAS servisa na tom broju.
Foto: Screenshot / reddit.com
Portal TeleSrbija obratio se korisniku, koji se izjasnio da želi da koristimo njegove inicijale P.S., u vezi sa ovom situacijom u želji da razumemo šta se konkretno desilo korisniku.
Kako navodi P.S., svoj telefon je nakratko dao detetu, nakon čega je dete aktiviralo “pretplatu na Gamecraze”.
On je nakon što je video šta se desilo, uspeo da replicira ceo tok aktivacije na telefonu svoje supruge, i ustanovio da je u pitanju “potpuno crn oglas” (Google Adsense), čiji je oglašivač “C.F.M. CONTENT FOR MOBILE LTD” sa Kipra.
Inače, “C.F.M. CONTENT FOR MOBILE LTD” (CFM) registrovan je na Kipru, čija je vlasnica, direktorka i sekretarica Elena Pafiti. Kompanija je registrovana sa sedištem u gradu Limasol, 2018. godine, na adresi koju deli sa 19 različitih kompanija. Elena je direktorka 14 drugih kiparskih kompanija, neke od kojih su registrovane na istoj adresi kao i CFM.
Korisnik P.S. je demonstrirao da kliknom na spomenuti crni oglas, biva redirektovan na stranicu sa ilustracijom igrice “Subway Surfers” (čiji su vlasnici kompanije SYBO i Kiloo, deo kineske Tencent Grupe) i crvenim dugmetom “NASTAVI”.
Na stranici je uredno navedena cena pretplate koja iznosi “500 RSD mesečno”, uz obećanje “Ostvarite neogranicen pristup igricama prihvatanjem pretplate od 500 RSD mesečno”.
Foto: Screenshot / TeleSrbija, M.K.
Ispod dugmeta nalaze se kontakt informacije pružaoca usluga, koji je identifikovan kao “Yettel doo”, zajedno sa kontakt podacima u vidu broja telefona i email adrese.
Ukoliko zelite neogranicen pristup najpopolarnijim klasicnim igrama I aplikacijama za vas mobilni telefon onda je Gamecraze portal za igrice pravo mesto za vas. Pruzalac usluge u Yettel mrezi u Srbiji je Yettel doo, kontakt za podrsku pruzanju usluzi: 0113216892 ili [email protected]
Inače, silverlines.info je jedan od domena koji koristi švajcarska firma NTH AG, koja u Srbiji ima registrovanog pravnog subjekta NTH MEDIA DOO, BEOGRAD (NOVI BEOGRAD).
NTH je u Srbiji registrovan kod RATEL-a za pružanje “usluga sa dodatnom vrednošću” od 2012. godine.
Ukoliko želite, arhiviranu web stranicu za aktivaciju možete videti na ovom linku: https://archive.is/DjMNQ
Opšti uslovi CFM su arhivirani ovde: https://archive.is/kY5tl
Druge stranice smo takođe arhivirali: Pomoć, Politika privatnosti, Kako se odjaviti
Foto: Screenshot / TeleSrbija, M.K.
Kada korisnik klikne na crveno dugme NASTAVI, pojaviće mu se stranica sa slike, na kojoj se nalazi reklamna slika igrice “Subway Surfers Seoul”, čiji su vlasnici kompanije takođe SYBO i Kiloo.
Osim reklamne slike, nalazi se tekst “Ukoliko potvrdite mesecnu pretplatu (klikom na zeleno dugme) od RSD 500 mesečno, dobijate neogranicen pristup Gamecraze portal za vise od 100 igrica. “
Takođe, ponovo se navodi da je pružalac usluge “Pretplatni servis za igrice - Yettel doo”, kao i već spomenuti kontakt mejl i telefonski broj.
Nismo uspeli da uspostavimo kontakt sa korisničkom podrškom na broju 0113216892.
Takođe, tokom testiranja Gamecraze stranice pristupom sa Yettel mobilne mreže, pružalac usluge je blokirao naš broj, tako da nismo bili u mogućnosti da do kraja sprovedemo istragu tim putem.
Kako smo uspeli da utvrdimo, što je i korisnik P.S. potvrdio, klikom na PRIJAVI SE dugme vrši se automatska naplata u iznosu od 500 RSD.
Korisnik P.S. nam je ovom prilikom ukazao na jednu užasavajuću činjenicu, a koja se tiče automatskog pribavljanja pretplatničkog broja od strane trećeg lica (pružaoca VAS usluge).
Konkretno, kada korisnik pristupa navedenoj stranici sa Yettel mobilnog interneta, klikom na NASTAVI, biće redirektovan na domen “acr.dob.telenordigital.com”, nakon čega korisnik biva redirektovan na “dob.payment.io” sa drugom spomenutom stranicom (koja sadrži zeleno dugme), na kojoj je VEĆ POPUNJEN mobilni broj pretplatnika!
Dakle, ni u jednom trenutku pretplatnik ne unosi svoj broj telefona na sajt, jer sajt “već zna” broj telefona korisnika.
Spomenuti domen “acr.dob.telenordigital.com” je deo Telenor Linx platforme, čiji je Yettel član usled postojećih ugovora koje su sklopili kao Telenor doo pre nego što je norveški Telenor prodao svoj udeo u CEE regionu češkom investicionom fondu PPF.
Telenor Linx platforma pruža veliki broj servisa orjentisan integraciji rešenja trećih strana sa sistemima telco operatora, a jedan od tih je i tzv. “DOB” (Direct Operator Billing, u svetu poznatiji pod američkim nazivom “DCB - Direct Carrier Billing”).
Ovde dolazimo do srži problema u celoj ovoj situaciji. Odnosno, do dva problema koji postoje.
Prvi problem se ogleda u tome da je korisniku omogućeno da se mesečno zaduži kroz dva klika, odnosno prvo klikom na NASTAVI a zatim na PRIJAVI SE. Dakle, bez ikakvog slanja SMS poruke, bez ikakvog unosa koda iz SMS poruke, isključivo posećivanjem dve web stranice - prve sa dugmetom “NASTAVI” i druge sa dugmetom “PRIJAVI SE”.
Drugi problem se ogleda u tome što je operator Yettel doo omogućio trećim licima da preuzimaju mobilni broj pretplatnika koji pristupa njihovom sajtu!
Ovaj drugi problem deluje neverovatno na prvi pogled, ali smo testirali više puta i utvrdili da sajt Gamecraze uredno iščitava broj telefona sa kojeg pristupamo sajtu, ukoliko je u pitanju Yettel mreža odnosno Yettel mobilni internet. Broj se može iščitati i ako se povežete na WiFi mrežu 4G modema u kojem se nalazi Yettel kartica!
Odmah smo se obratili operatoru Yettel, sa pitanjem “da li omogućavate vašim VAS partnerima da pribave pretplatnički broj korisnika putem HTTP API-ja”.
Foto: Screenshot / TeleSrbija, M.K.
Yettel se u odgovoru izjasnio da je “zaštita privatnosti [njihovih] korisnika integralni deo [njihove] poslovne prakse”, kao i da “[sve podatke] o korisnicima obrađuju u skladu sa važećim zakonim Republike Srbije. “
Yettel dalje u odgovoru spominje pretplaćivanje “u tri koraka”, kao i verifikaciju “u poslednjem koraku” kada “korisnik svoj korisnički broj čini dostupnim VAS partneru”.
Foto: Screenshot / TeleSrbija, M.K.
Izjašnjenje kompanije Yettel nije odgovorilo na naše pitanje, a usput su izneli dve neistine.
Konkretno, u pitanju je pretplaćivanje u dva koraka, a ne tri kako navodi Yettel, dok je istovremeno pretplatnički broj korisnika dostupan VAS partneru već posle prvog koraka, a ne kako Yettel tvrdi “na poslednjem koraku”.
Verifikacija u uobičajenom značenju te reči nije prisutna, jer se ne radi o unosu koda iz SMS poruke ili slanja SMS poruke na kratki broj, već isključivo o dva klika na dugme na web stranici.
Verujemo da većina korisnika nije svesna da je moguće zadužiti se samo klikom na dugme na web stranici.
Foto: Screenshot / TeleSrbija, M.K.
Ponovo smo se obratili Yettel-u, sa zahtevom da nam odgovore u vidu tvrdnje “DA ili NE”, na preformulisano pitanje:
“Da li Yettel omogućava VAS partnerima da pribave mobilni broj pretplatnika putem HTTP web servisa (API-ja), bez eksplicitnog unošenja tog broja od strane pretplatnika. “
Foto: Screenshot / TeleSrbija, M.K.
Yettel se izjasnio da “broj postaje dostupan VAS partneru isključivo na zahtev korisnika u svrhu realizacije pretplatničkog odnosa (između VAS partnera i korisnika)”.
Takođe, Yettel je ponovo naveo da posluju “u skladu su sa svim važećim propisima Republike Srbije”, ali detalje o implementaciji nisu želeli da podele jer smatraju da su “detalji tehničke realizacije u domenu poslovne tajne [i] bezbednosnih procedura kojima se štite podaci korisnika. “
Kako nam Yettel nije odgovorio dovoljno detaljno, odlučili smo da istražimo sam flow od trenutka klika na reklamu do trenutka kada se VAS partneru stavlja na raspolaganje pretplatnički broj.
Foto: TeleSrbija / M.K.
Kao što se vidi na dijagramu koji smo sastavili, VAS partneru se na raspolaganje stavlja broj telefona korisnika nakon prvog klika, odnosno klika na crveno dugme “NASTAVI”.
Ovo je suprotno tvrdnjama operatora Yettel.
U slučaju korisnika P.S., neimenovani VAS partner na silverlines.info domenu, što je zapravo NTH MEDIA DOO, je korisniku odobrio storniranje naplate.
Ipak, korisnik P.S. se obratio Yettel-u sa žalbom povodom deljenja njegovog pretplaničkog broja sa trećim licem bez informisanog pristanka korisnika, na šta Yettel nije odgovorio u trenutku pisanja ovog teksta.
Zanimljivo je i to da se broj telefona pretplatnika na stranici sa zelenim dugmetom nalazi u enkriptovanom obliku unutar same stranice, usled čega je moguće sačuvati HTML stranice, a zatim otvoriti stranicu bez aktivne internet konekcije i videti broj telefona koji je korišćen za pristupanje toj stranici.
Nažalost, VAS prevare su sve češće, a sa novim DCB/DOB metodom naplate “u dva klika” očekujemo da će se broj prevarenih korisnika u narednim mesecima i godinama učetvorostručiti.
Neophodna je hitna reakcija Ministarstva informisanja i telekomunikacija kao i regulatorne agencije RATEL kako bi se zabranila ova praksa direktne naplate “u dva klika” odnosno “direct carrier billing” tj. “direct operator billing”.
Uputićemo dopis RATEL-u sa pitanjem o pravnom statusu ovakve prakse naplate “u dva klika” putem web stranice, kako nismo u poziciji da interpretiramo regulativu VAS servisa u Srbiji.
Dodatno, uputićemo dopis Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti sa zahtevom da oceni legalnost ove prakse deljenja pretplatničkog broja sa trećim licem nakon prvog klika na web stranici.
Tokom istraživanja smo otkrili i javan GET HTTP API endpoint kompanije CFM - bez ikakve zaštite ili autentifikacije - na kojem su dostupni milioni zapisa koji sadrže pretplatničke brojeve, IP adrese, brojeve ugovora, modele telefona, podatke o mobilnom operatoru, i mnoštvo drugih podataka, svih korisnika koju su nekada imali interakcije sa CFM, iz celog sveta.
O navedenom otkriću ćemo obavestiti SHARE Fondaciju iz Beograda radi koordinisanja reakcije na isto, kao i prijavljivanja propusta Kiparskom povereniku za zaštitu podatka o ličnosti.
U narednom periodu ispratićemo ovu izuzetno kompleksnu i osetljivu situaciju u koju su upletene mnoge međunarodne firme i više regulatornih domena širom sveta.
Zahvaljujemo na pomoći i podršci ekipi sa foruma Bezbedan Balkan, Aleksanderu Segediju, kao i korisniku P.S. koji je javnosti ukazao na ovu situaciju.
2 komentara
1. Što Yettel vrši nedozvoljenu obradu podataka o ličnosti, tj. ustupanje podataka o ličnosti trećim licima bez njihove sagalasnosti, a posebno bez verifikacije korišćenja ovakvaog servisa putem unosa broja i potvrde u sms poruci. Tako da Poverenik treba da reaguje po ovom pitanju.
2. Roditelji daju deci da koriste telefone i raznorazne igrice, a da pritom na brojevima nisu iključili VAS servise niti su ograničili kakav sadržaj deca mogu da koriste. To što mi je dete uzelo telefon i pretplatilo se na neki servis, jeste dokaz da je telefon dat licu koje nije još dovoljno zrelo da isti koristi niti da pazi šta na istom aktivira. A dete treba da pita roditelje ukoliko nije sigurno.
Tako da ovaj problem ima dve strane medalje. Prvi je mnogo ozbiljniji