Меняя номер телефона или email, не забывайте отвязывать их от аккаунтов!

На днях на Habr.ru появилась заметка Про то как автор, купив новый номер телефона, получил доступ к аккаунтам предыдущего владельца этого номера.

Для справки: в настоящее время, если с номера телефона в течение 90 или 183 дней (в зависимости от тарифного плана) не совершалось никаких платный действий, и баланс счета нулевой, то сотовые операторы аннулируют SIM-карту, а номер телефона становится незанятым.

Суть истории такова: автор купил у Yota новый номер для себя, позже решил изменить номер телефона в личном кабинете «Почты России» на этот новый номер.
Но столкнулся с проблемой что данный номер (приобретенный в Yota) уже занят!

Далее идет "веселая" история его исследования (скриншоты):

Личный кабинет «Почты России», восстановление доступа

Путем ввода номера телефона и паспортных данных, он легко смог восстановить доступ к порталу «Госуслуги»:

Личный кабинет «Госуслуги», восстановление доступа

Какие выводы стоит сделать из этой истории

Вообще, подобные проблемы со сменой номера телефона или электронной почты известны достаточно давно. И высокотехнологичные компании, особенно в финансовой сфере, стараются защититься от них. Один из способов — это проверка IMSI (уникального идентификатора SIM-карты), с которого выходит на связь абонент.

IMSI International Mobile Subscriber Identity — международный идентификатор мобильного абонента (индивидуальный номер SIM-карты).
Не путайте его с
IMEI International Mobile Equipment Identity — международный идентификатор мобильного оборудования (т. е. аппарата).

То есть при перевыпуске SIM-карты (со старым номером телефона), у неё меняется IMSI.

Но это достаточно высокотехнологичное решение, и далеко не все компании берут его на вооружение. Насколько я знаю, все солидные банки давно внедрили систему идентификации пользователя по связке Номер абонента + IMSI. Но, видимо, это достаточно сложное техническое решение, и многие сервисы (как и в этом примере), не говоря о социальных сетях, его не используют.

Так что будьте внимательны при отказе от использования номеров телефонов, email, и тому подобного!