Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Changer ou résilier n’importe quelle ligne Sosh juste avec un numéro #FAIL
publié le 24 octobre 2012 à 14h59, modifié le 25 octobre 2012 à 9h54.
Tout d'abord, nous allons donc utiliser le chat pour vous montrer la faille.
Ce qu’il y a de bien avec Internet, c’est la facilité avec laquelle vous pouvez faire des choses qui auparavant vous aurez pris plus d’une heure en boutique, aujourd’hui je vais vous parler d’une faille de sécurité chez Sosh qui permet à n’importe qui de pouvoir changer le forfait Orange ou Sosh d’une personne au hasard.
Pour s’y connecter, il faut renseigner plusieurs champs, dans notre cas nous allons mettre le nom d’une personne déjà cliente chez Sosh, une fausse adresse email, et le bon numéro de téléphone de cette personne.
Je laisse la conversation telle quelle pour vous montrer, qu’à aucun moment, mon identité est vérifiée, j’ai accès au contenu du forfait téléphonique et ils m’ont même proposé de modifier mon adresse email par celle que j’avais renseigné.
———————-
Vous êtes en position 1 dans la file d’attente
Vous êtes en relation avec Cécile.
Cécile: Bonjour, bienvenue au service client Sosh !
xxxxx: Bonjour
xxxxx: J’aurai quelques questions sur mon forfait pris il y a quelques temps
Cécile: Oui
xxxxx: les offres évoluant avec le temps je voulais savoir ce que j’ai actuellement ?
Cécile: d’accord
Cécile: Pouvez-vous me confirmer que votre demande concerne bien le numéro 06XXXXXXX, et puis-je utiliser votre adresse mail afin de mettre à jour votre dossier ?
xxxxx: Non mon adresse email n’est pas celle utilisé dans le contrat, ne sachant pas les sollicitations derrière, j’ai préféré mettre une fausse adresse
xxxxx: Mais c’est le bon numéro de téléphone
Cécile: Je vous remercie.
Cécile: votre forfait actuel est le forfait sosh 2h à 14.90€
xxxxx: d’accord donc tout à évoluer avec le temps ?
Cécile: Ce forfait n’est plus commercialisé par sosh mais vous pouvez continuer à en bénéficier* si vous voulez.
Cécile: On propose actuellement un nouveau forfait :
Cécile: Le forfait Sosh 24/7 à 19.90€ inclus les appels illimités vers les mobiles et fixes en France métropolitaine hors numéros spéciaux, l’appel est interrompu au bout de 3h maximum et il est possible de renouveler votre appel par la suite.
(sont compris comme des numéros spéciaux, les numéros à 10 chiffres commençant par 08, les numéros à 4 chiffres commençant par 3 et par 10, les numéros de radiomessagerie ainsi que les numéros d’accès à des services de renseignement commençant par 118)
+SMS / MMS Illimités vers tous les numéros de mobiles en France métropolitaine hors SMS/MMS surtaxés et n° courts. Jusqu’à 250 correspondants différents par mois
+ des SMS en illimité depuis l’Europe (Hors la France) et les DOM vers l’Europe (France incluse) et les DOM
+ 2 Go d’internet avec débit réduit au-delà pour l’accès à internet, voix sur IP et usage modem inclus.
(sont compris comme des numéros spéciaux, les numéros à 10 chiffres commençant par 08, les numéros à 4 chiffres commençant par 3 et par 10, les numéros de radiomessagerie ainsi que les numéros d’accès à des services de renseignement commençant par 118)
+SMS / MMS Illimités vers tous les numéros de mobiles en France métropolitaine hors SMS/MMS surtaxés et n° courts. Jusqu’à 250 correspondants différents par mois
+ des SMS en illimité depuis l’Europe (Hors la France) et les DOM vers l’Europe (France incluse) et les DOM
+ 2 Go d’internet avec débit réduit au-delà pour l’accès à internet, voix sur IP et usage modem inclus.
xxxxx: D’accord
xxxxx: si je souhaite arrêter mon forfait ou le modifier, je peux directement le faire à travers vous ?
Cécile: Oui je peux modifier le forfait immédiatement si vous voulez.
xxxxx: et je peux revenir à l’ancien (à 14,90) si celui à 19,90 ne me plait pas ?
Cécile: Si vous modifiez votre forfait actuel vers un autre forfait sosh vous ne pouvez plus revenir votre ancien forfait à 14.90€.
xxxxx: et la modification peut être immédiate ou décalée dans le temps ? Si je souhaite qu’elle soit prise en compte après ma prochaine facture par exemple, c’est possible ?
Cécile: le changement de forfait sera effectif à partir du prochain jour de facturation.
xxxxx: d’accord, et pour la résiliation de mon forfait comment cela se passe t’il ?
Cécile: La résiliation de votre abonnement nécessite un contact téléphonique avec le service résiliation.
Cécile: pour résilier votre ligne, vous devez nous recontacter par chat afin de programmer un RdV téléphonique avec le service concerné.
xxxxx: D’accord, donc je serai contacté sur le numéro de téléphone sous Sosh, ou je peux donner un fixe sur lequel me joindre car je capte très mal dans les locaux où je travaille ?
Cécile: Vous pouvez nous communiquer un numéro de rappel de votre choix.
xxxxx: D’accord, que devrais-je fournir dans ce cas là à la personne que j’aurai au téléphone ?
Cécile: Vous devez fournir votre numéro compte client ( il est indiqué sur votre facture en haut de la page).
xxxxx: que je retrouve aussi dans mes emails quand j’ai la notification de facture ?
Cécile: Exactement.
xxxxx: D’accord très bien, merci des renseignements, je verrai plus tard pour un changement. Je vous souhaite une bonne journée !
———————-
Bref, que pouvons nous en tirer ? Ici j’ai eu la possibilité de changer le forfait de manière immédiate SANS contrôle. J’ai aussi eu la possibilité de modifier l’adresse e-mail du compte et donc de recevoir les factures me permettant de résilier par la suite le forfait puisque seul me sera demandé le numéro de compte.
Un peu de social engineering (en se basant pourquoi pas sur les fans de la page Facebook de Sosh ?) et voilà vous pouvez facilement modifier le contrat de quelqu’un. Je suis tombé par hasard dessus quand j’ai fait passé le numéro de mobile avec mon propre nom (facturé au nom de ma mère) d’Orange Open vers Sosh, et j’ai actuellement quelques problèmes (ligne supprimée) car Orange affirme que c’est ma mère qui a fait le changement, mais le log de chat devrait pourtant montrer mon nom et prénom…
EDIT : Les équipes Sosh ont procédé au correctif