Белорусский оператор Life:) слил мои СМС третьему лицу

В прошлом году, как и многие из вас, я озадачился оформлением банковских карт в дружественной юрисдикции. На тот момент по разным причинам выбор пал на белорусские банки, и для открытия счетов мне, конечно же, требовалась местная сим-карта. Весь процесс прошел без эксцессов, и я в короткие сроки стал абонентом замечательного оператора сотовой связи Life:) и клиентом нескольких банков РБ.

Эти карты множество раз меня выручали, но время шло и условия менялись. Осенью этого года я стал клиентом банка в другом государстве, а в белорусских планировал закрыть счета ближайшим визитом в Минск. Примерно с сентября мой старенький смартфон с симкой Life:) лежал выключенный в ящике стола.

И вот вчера ночью, собираясь уже ложиться спать, я получаю уведомление в телеграмм:

Контакт "Мой Life:)" это мой же белорусский номер, записанный в телефонной книге на основном смартфоне.

С минуту я сидел и пытался осознать происходящее. Дальнейший ход мыслей был примерно такой. Если телефон с этой этой симкой лежит несколько месяцев выключенный, то вероятно, номер аннулировали и перепродали кому-то еще. К тому же, я давненько не пополнял баланс и не совершал звонков. Ок, это моя невнимательность, но что поделать — сам виноват.

Не пытаясь даже включить второй телефон и проверить симку, я сразу начал писать в банки и объяснять ситуацию. Сотрудники поддержки, к слову, оказались очень отзывчивые и каждый банк предложил сразу несколько вариантов решения проблемы. Начиная от простой блокировки карт с остатками или блокировки доступа в мобильный банк, и заканчивая полным отвязыванием номера телефона от личного профиля. Один из сотрудников банка предложил связаться с оператором и выяснить сперва подробности.

Включив телефон я обнаружил что симка прошла регистрацию в сети, а ussd-коды вполне успешно работали. Пополнив баланс я также получил смс с уведомлением, и теперь вопросов стало еще больше.

Если моя симка работает, то кто и как зарегистрировал на нее аккаунт в телеграмме? Если аккаунт регистрировали для серых схем, то вероятно там уже стоит 2FA с авторизацией по паролю и зайти в эту учетку я скорее всего не смогу. Каково же было удивление, когда я успешно залогинился в телегу под своим же номером. Первым делом проверил подключенные устройства.

Устройство третьего лица, который получил доступ к моим смс.<br />

Здесь у меня появилось две гипотезы:

Сотрудник Life:) зарегистрировал телегу на мою симку, возможно ожидая что номер брошенный и владелец не будет против. Эта версия является рабочей.
Старенький смартфон на андроиде взломали и установили вредонос. Теория была отброшена т.к. смартфон лежал несколько месяцев разряженный в ноль.

Собрав мысли в кучу, я начал писать в поддержку оператору. Но тот естественно пошел в отказ.

Удивило то, с какой скоростью саппорт дал ответ на вопрос. Буквально за секунды.<br />

Сложилось ощущение что скрипт по данным обращениям уже был прописан, и я не первый кто обращается с подобным. Могу конечно ошибаться.<br />

Официальная позиция понятна и непреклонна. Никаких тикетов никто регистрировать не собирается.<br />

Написать в саппорт телеги конечно можно, но ответ если и будет то очевидный.<br />

P. S. Уже закончив этот пост, у меня появилась еще одна идея. Я запросил выписку смс за последние два дня. В ней не оказалось сообщений, которые могли прийти третьим лицам и не прийти мне.

Какие я делаю выводы: либо в телеге найдена 0day-уязвимость, либо у Life:) проблемы с внутренней безопасностью. Напишите что думаете вы и кому доверяете больше.