7:55
11/7/2017

PESEL jako hasło to nie jest najlepszy pomysł z wielu powodów, szczególnie jeśli w e-mailu z zabezpieczonymi hasłem dokumentami informujemy, że hasłem jest PESEL, …a na koniec go dorzucamy. Taką wpadkę miała AVIVA. Jeśli dostaliście e-maile od tej firmy, lepiej bliżej się im przyjrzyjcie.

“Jeśli mnie nie widzą, to nie istnieję”

Jeden z Czytelników poinformował nas, że firma ubezpieczeniowa AVIVA przesłała do niego e-mail z ważnymi informacjami dotyczącymi polisy ubezpieczeniowej. Do e-maila załączony był chroniony hasłem dokument, co wydaje się być rozsądną i godną pochwały praktyką. Szkoda tylko, że w samej treści maila napisano co jest hasłem (PESEL), a potem to hasło podano.

Co może pójść nie tak?

Nie dostrzegacie numeru PESEL w tej wiadomości? Nie jest to łatwe, bo napisano go białym kolorem, na białym tle. Ale w klientach poczty nie wspierających widoku HTML lub po prostu po zaznaczeniu, można dostrzec coś takiego:

<

AVIVA: To błąd. Wyjaśniamy sprawę

Sprawę zgłosiliśmy firmie AVIVA. Rzecznik AVIVA Bohdan Białorucki odpowiedział nam dość szybko, prosząc o trochę czasu na wyjaśnienie sprawy. Później poinformował nas, że zamieszczenie numeru PESEL było błędem i firma za niego przeprasza. Sprawa ma zostać wyjaśniona.

Nie dowiedzieliśmy się niestety niczego na temat powodów tego błędu, ale — jak rozumiemy — miał on charakter jednorazowy. Na wszelki wypadek prosimy naszych Czytelników będących klientami AVIVA, by sprawdzili swoje e-maile. Dajcie nam znać jeśli zauważycie w nich swój numer PESEL.

Gdybyśmy mieli strzelać, obstawialibyśmy, że któryś z developerów chciał sprawdzić, czy system dobrze dobiera PESEL-e do poszczególnych załączników. I swój “debug metodą echo” zostawił na produkcji.

Wygoda najważniejsza?

Bohdan Białorucki dodał też, że firma rozważała zabezpieczenie pliku hasłem generowanym losowo i dostarczanym innym kanałem, np. SMS:

Jednakże odstąpiliśmy od tego typu zabezpieczenia z powodu utrudnień, jakie stwarza ono dla klienta, który razem z dokumentem musiałby przechowywać SMS-owe hasło. Innym problem jest konieczność posiadania aktualnego numeru telefonu komórkowego klienta

Zdaniem AVIVA hasło przesyłane w sposób taki jak obecnie może zabezpieczyć przed ujawnieniem informacji np. w sytuacji przesłania e-maila z dokumentem na nieprawidłowy adres. Niestety może to być zabezpieczenie niewystarczające. Nie tylko wtedy, gdy dostęp do e-maila uzyska osoba niepowołana.

Numer PESEL da się zdobyć na różne sposoby, a poza tym jest to hasło zawsze składające się z 11 cyfr. Jeśli znamy datę urodzenia ofiary to pozostaje nam 5 cyfr, przy czym pozostałe cyfry zawierają informację o płci, a cały numer musi być zgodny z sumą kontrolną. W ogólności to nie najlepsze hasło. Bo bardzo łatwo się je generuje i szybko można przetestować, czy pasuje ono do dokumentu.

Przypomnijmy tu wpadkę funduszu PKO BP, który dane klienta “zabezpieczył” hasłem w postaci daty urodzenia. Pamiętacie ile czasu zajęło złamanie tego hasła prostym skryptem generującym wszystkie możliwe daty urodzenia? 0,3s.

Wynik łamania hasła do PDF-a

Wynik łamania hasła do PDF-a

Przy tamtej okazji rzeczniczka GIODO wspomniała nam, że zabezpieczanie numerem PESEL nie jest zbyt mądre, bo ten numer da się pozyskać z innych dokumentów. Przecież nie chcielibyście mieć hasła do banku na dowodzie osobistym, prawda?

Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. A można coś więcej na temat samego dokumentu? W jaki sposób był zabezpieczony hasłem?

  2. aż nie chce się wierzyć że takie “babole” nadal występuj[XYZ – usunięte na prośbę autora]

    • “występuj[XYZ]” – zamiast “ą” wkleiłeś zawartość załącznika ze swoim loginem domenowym składającym się z 1. litery imienia i nazwiska? ;)

    • Proszę o usunięcie komentarza z dnia: 2017.07.11 08:14

    • Zgaduję, że miałeś otwartego KeePassa? Zmień sobie w ustawieniach skrót do funkcji auto-type ;-)

    • Jak widać Grzegorzu, babole występują :D

  3. Ja dostałem od nich ofertę przedłużenia polisy zabezpieczoną datą urodzenia. Sama data ukryta w mailu w taki sposób, jak tutaj opisujecie PESEL. Wiadomość ze stycznia 2017 więc trochę czasu już to trwa.

  4. U mnie działa

  5. W kwestii formalnej: dlaczego w tym skrypcie data początkowa jest w formacie ‘m-d-r’, a końcowa w ‘d-m-r’?

    • Może to taki znak rozpoznawczy programisty? Who knows. Parser i tak przerabia to dalej na odpowiedni format, więc to bez znaczenia jak została zapisana data.

  6. Ktoś sobie debugował obsługę załączników i nie chciało mu się co chwila peseli sprawdzać pewnie ;) I zostało.

  7. Teraz, zamiast numeru PESEL, jest tam data urodzenia.

  8. PESEL ukryty w wiadomości to … postęp w Aviva.
    Niespełna rok temu dostałem wiadomość z polisą o treści:

    Gdyby PDF nie chciał się otworzyć, proszę użyć hasła “vivaaviva”.

    ZZ@private

  9. Akurat w firmie w której pracuję mamy obowiazek zmieniać hasła co 3 miesiące. Jesli ktoś zapomni o zmianie i jego kąto zostanie zablokowane, admini właśnie używają takiego hasła :) Czasem ono jest aktywne poprzez kolejne 3 miesiące gdyż nie wszyzcy je zmieniają na swoje wlasne… Pozdrawiam

    • Najs… BTW, brakuje mi tu jeszcze takich niewinnych informacji na temat ulubionego koloru, dokładnego miejsca pracy i imienia pierwszego zwierzątka

    • Zawsze sądziłem, że hasła trzeba zmieniać co 30 dni, co wynika z Ustawy o ochronie danych osobowych…

    • Szkoda, że u Ciebie w firmie jeszcze nie ma obowiązku używania słownika ortograficznego :(

  10. Niektóre firmy mają tak ustawioną politykę bezpieczeństwa, że jeśli w wiadomości wychodzącej znajduje się archiwum do którego nie mogą “zajrzeć” filtry, to taka wiadomość jest blokowana. A w przypadku archiwów zaszyfrowanych hasło jest poszukiwane w treści wiadomości.
    Pewnie to “drut” do obejścia tego mechanizmu.

  11. To czy PESEL jest podany w treści, czy nie, nie ma *żadnego* znaczenia, skoro wiadomo, że hasłem jest numer PESEL właśnie. Autor artykułu napisał, że PESEL “to nie najlepsze hasło” – bzdura! PESEL to żadne hasło.

    Policzmy:
    n – liczba haseł do sprawdzenia
    Bierzemy pod uwagę daty urodzenia od 1.01.1920 do 1.01.2000. Mamy 365,25 dni razy 80 lat, co daje nam 29220 dat urodzenia.
    Dalej mamy 4 cyfry identyfikacyjne; ciąg 4 cyfr to 10000 możliwych liczb.
    Ostatnia cyfra jest cyfrą kontrolną, więc można ją bez problemu wyliczyć szybko i w stałym czasie na podstawie poprzednich już na etapie generowania listy haseł do sprawdzenia.
    Zatem:
    n = 29220 * 1000 = 292200000.
    Na zwykłym laptopie, który sprawdza k = 60000 haseł na sekundę, otwarcie takiego PDF-a bez znajomości hasła zajmie nie więcej niż n/k sekund.
    n/k = 4870 sekund = 1 godz. 22 min.

    Czyli mniej niż półtorej godziny (!) Jest to żałosne zabezpieczenie. A bezpieczne hasło to takie, którego złamanie zajęłoby setki tysięcy lat na najnowocześniejszym sprzęcie, który będzie dostępny za kilkadziesiąt lat.

    Ceterum censeo, że numery PESEL należy zlikwidować, bo to komunistyczne narzędzie stworzone przez państwo celowo do permanentnej inwigilacji każdego mieszkańca Polski.

    • Jakie 10000 – w mailu masz imię, więc bit płci też określasz – masz 2 razy mniej wartości do sprawdzenia. Dalej możesz skrócić listę kolejne 3x. Na wskazanej pozycji praktycznie nikt nie ma trójki i wyższej liczby: YYMMDD3xxxC. “Atak” będzie więc 6 razy krótszy zaczynając od 0000C kończąc na 3332C i lecąc tylko parzyste lub nieparzyste PESELE względem drugiej cyfry od końca.

    • Jeżeli znana jest płeć to jasne z tą przedostatnią cyfrą, ale ktoś wie dlaczego nie ma na danej pozycji cyfr większych niż 3? Ciekawe.

  12. Ostatnio widziałem maila od firmy Vectra (nie był to mój e-mail więc nie mogę przesłać przykładu wiadomości) w którym zawarta była podobna informacja która brzmiała:
    Państwa hasło: PESEP/NIP (w przypadku firm) lub indywidualne hasło (jeśli dokonano zmiany)

    • “… Państwa hasło: PESEP/NIP (w przypadku firm) lub indywidualne hasło (jeśli dokonano zmiany)”
      To jeszcze nie tak zła polityka, bo przy pierwszym logowaniu wymuszają zmianę hasła i mechanizm (z ego co pamiętam) nie pozwala na ustawienie samych cyfr.
      pozdrawia były pracownik Vectry :)

  13. @Konstanty Mała optymalizacja do Twojego algorytmu, jeżeli w tytule wiadomości jest “Panie” to przedostatnia cyfry jest nieparzysta, dla Pani używasz parzyste i już mamy 41 min ;)

    Co do peselu to jak już kiedyś pisałem, ale niestety nie przeszło przez moderację – bardzo często znajduje się on w google wyciągnięty z KRS.

  14. Jeżeli nie było w tym mailu jakiś mega ważnych danych to zupełnie nie widzę problemu. Poza tym jaka jest wasza propozycja która będzie miała mniej więcej podobny poziom wygody ?

  15. > Jeżeli nie było w tym mailu jakiś mega ważnych danych
    > to zupełnie nie widzę problemu.

    Nie ma żadnego znaczenia czy dane są ważne czy nie, to zresztą subiektywna rzecz. Istotna jest tajemnica korespondencji. Wysyłanie czegokolwiek e-mailem bez porządnego szyfrowana to jak wysyłanie pocztówki bez koperty. Nie wysyła się rachnków/faktur/wyciągów/listów prywatnych/etc. na pocztówkach i basta. Tak samo nie wysyła się ich e-mailem.

    > Poza tym jaka jest wasza propozycja która będzie
    > miała mniej więcej podobny poziom wygody ?

    Istotna jest prywatność i to o niej tutaj rozmawiamy. Dopiero potem jest wygoda. Przeraża mnie, jak ludzie z lenistwa sprzedają godność swoją oraz wszystkich tych, z którymi korespondują elektronicznie.

    A odpowiadając na pytanie: są różne rozwiązania, ale tak na szybko parę przykładów:

    1) PDF szyfrowany silnym hasłem, które przy zawarciu umowy zostało przekazane do ręki klientowi w zapieczętowanej kopercie (tak jak karty kodów jednorazowych w banku)

    2) Wdrożenie GPG: operator udostępnia – może być nawet zmodyfikowaną przez operatora dla swoich potrzeb, z ułatwieniami dla “klikaczy” – aplikację Gpg4Win do ściągnięcia na swojej stronie, wraz z instrukcją stworzenia pary kluczy i przekazania klucza publicznego operatorowi,

    3) Szyfrowanie na czipie w wydawanej przez zaufaną trzecią stronę karcie. Może to też być zintegrowane z dowodami osobistymi, jak w Estonii.

    A jeżeli takie rozwiązania klient uważa za niewygodne, to niech korzysta z korespondencji papierowej. Listonosze nie otwierają rutynowo wszystkich listów, za to agencje wywiadowcze dążą do skanowania i przechowywania treści wszystkich maili.

    Dodatowym plusem wdrożenia któregoś z podanych rozwiązań byłby jakiś tam wzrost świadomości wśród klientów operatora, że e-mail nie daje *żadnych* gwarancji poufności.

    • Brawo! Same praktyczne propozycje! Wysyłanie w kopercie i bez koperty nijak ma sie do calego artykułu. Przeciez zalacznik byl zaszyfrowany, tylko haslo bylo zalaczone w mailu, a nawet gdyby nie bylo to – poniewaz to same cyfry – latwe do zbruteforce’owania. Moim zdaniem lepszy pdf na hasło z peselem niż plain text. Słabe oczywiście jest zamieszczenie PESEL w mailu, pewnie zostało z etapu testowania.

    • Pocztówki zazwyczaj wysyła się bez koperty;)
      Natomiast mi firma ciepłownicza przesyła fakturę w ekologicznej kopercie. Wiesz jak ona wygląda? Wystarczy odchylić (bez żadnego otwierania/uszkadzania itp!) papierek i już widać jak się grzałem w poprzednim miesiącu;)

    • > Brawo! Same praktyczne propozycje!

      Kwestia oceny. Ale wysyłanie czegokolwiek, co zawiera dane osobowe mailem bez szyfrowania to katastrofa i należy z tym walczyć.

      Podtrzymuję moje stanowisko – jeżeli ktoś nie potrafi przepisać hasła z koperty do komputera albo ogarnąć kilku klików w GPGwin to nie ma podstawowych umiejętności komputerowych (albo brakuje mu po prostu inteligencji) i nie powinien otrzymywać żadnych dokumentów e-mailem, a tym bardziej pracować z danym osobowymi. Ja wiem, że tutaj sytuacja dotyczy końcowego odbiorcy który być może swoje dane ma w d… – ale z ludźmi w działach ds. kontaktu z klientami jest tak samo.

      I nie można zapominać o tych użytkownikach, którzy wiedzą, jak działa e-mail i nie życzą sobie by ich dane fruwały po internetach, przesyłane przez państwo/operatora/prywatne firmy w sposób niebezpieczny: czy to bez hasła, czy to z hasłem w postaci PESEL-u,wszystko jedno. I tacy użytkownicy cierpią najbardziej – bo firma wychodzi z założenia, że musi być “przyjaźnie dla niekomputerowego odbiorcy” – czyli w praktyce bez żadnych zabezpieczeń.

      Większość problemów z cyberbezpieczeństwem i prywatnością w sieci wynika z ludzkiego lenistwa właśnie (“co tam ja będę przepisywać długie hasło, to przecież niepraktyczne”). Ludzie są oporni nawet na minimalny wysiłek i chcą, by wszystko było jednym kliknięciem. Nic dziwnego, że są potem bardzo podatni na phishing – skoro wszystko się robi “jednym kliknięciem”.

      > Wysyłanie w kopercie i bez koperty nijak ma sie do calego artykułu.
      > Przeciez zalacznik byl zaszyfrowany, tylko haslo bylo zalaczone w mailu,
      > a nawet gdyby nie bylo to – poniewaz to same cyfry – latwe do
      > zbruteforce’owania. Moim zdaniem lepszy pdf na hasło z
      > peselem niż plain text.

      Wybacz, ale wg mnie zacytowany fragment Twojej wypowiedzi jest wewnętrznie sprzeczny. Dlaczego piszesz, że hasło jest łatwe do złamania metodą siłową i jednocześnie że hasło z PESEL-em jest lepsze niż żadne hasło? Słabe hasło to żadne hasło, jak wykazał Konstanty powyżej.

      > Pocztówki zazwyczaj wysyła się bez koperty;)

      Zależy kto. Ale na pocztówce nie ma numeru PESEL, numeru dowodu i paru innych danych, na które można wziąć kredyt.

      > Natomiast mi firma ciepłownicza przesyła fakturę w ekologicznej
      > kopercie. Wiesz jak ona wygląda? Wystarczy odchylić (bez żadnego
      > otwierania/uszkadzania itp!) papierek i już widać jak się
      > grzałem w poprzednim miesiącu;)

      Nie widzę w tym nic śmiesznego, to raz, a dwa – to coś zmienia? Firmy robią dużo rzeczy nieprawidłowo – i co z tego?

  16. Teraz będą zabezpieczać: Hasłem do pliku jest państwa adres e-mail. :)

  17. Podobną politykę stosowała AVIVA dla dokumentów generowanych z serwisu Aviva Investors 24:

    “Załączony plik chroniony jest hasłem, którym jest:
    – w przypadku Uczestników indywidualnych i Wspólnych Rachunków Małżeńskich – numer PESEL,
    – w przypadku Uczestników instytucjonalnych – numer REGON,
    – w przypadku Uczestników indywidualnych zagranicznych – data urodzenia w formacie RRRRMMDD.
    Jeżeli nie należą Państwo do żadnej z wymienionych grup, uprzejmie prosimy o kontakt z infolinią w celu uzyskania hasła.”

    Po waszym dzisiejszym wpisie nie sądzę żeby coś zmieniali…

  18. Pamiętam dawne czasy w jednej firmie, gdy zainstalowali program antywirusowy na serwerze poczty wtedy wycinał wszystkie dokumenty office nie ważne że były bez wirusów, więc ludzie zaczęli pakować dokumenty i to wystarczyło na jakiś czas, póki antywirus nie został unowocześniony i rozpakowywał archiwa. Wtedy się zaczęło szyfrowanie dokumentów, nie po to by było bezpieczniej, tylko by przeszło przez system antywirusowy… hasło zazwyczaj było w tym samym mailu…

  19. Kolejnym razem polecam:

    <!–

    Powinno pomóc w ochronie danych przez AVIVĘ (-;

  20. Kolejnym razem polecam:

    <di­v style=”display:none; visibility:hidden; opacity:0;”><­!-­-

    Powinno pomóc w ochronie danych przez AVIVĘ (-;

  21. Dokładnie w ten sam sposób (czyli PESELem) “zabezpiecza” umowę (format PDF) przesyłaną mejlem operator telekomunikacyjny Play.

  22. Taka ciekawostka, że początek PESELu to nie zawsze data urodzenia. Często w miejsce miesiąca wstawia się ‘2’ i już wtedy to zmienia postać rzeczy :) Chodzi o to ,żebym PESEL był unikalny bo np. ktoś urodzny 05.08.2005 roku, mógłby w teorii mieć taki sam co osoba z 05.08.1905, która może jeszcze sobie przecież żyć :) Pozdr.

    • Do miesiąca dodaje się 10 jeśli rok urodzenia jest 2000 i później.

    • Do miesiąca dodaje się 20 z tym stuleciu:

      “[…] dla osób urodzonych w latach 1900 do 1999 – miesiąc zapisywany jest w sposób naturalny, tzn. dwucyfrowo od 01 do 12
      dla osób urodzonych w innych latach niż 1900 – 1999 dodawane są do numeru miesiąca następujące wielkości:
      dla lat 1800-1899 – 80
      dla lat 2000-2099 – 20
      dla lat 2100-2199 – 40
      dla lat 2200-2299 – 60
      (źródło: Wikipedia)

  23. PESEL czy data urodzenia jako hasło… A ile razy nie oferuję różnym firmom/instytucjom, że dam im mój publiczny klucz PGP i niech na niego szyfrują korespondencję do mnie, to jest że oni nie obsługują, nie potrafią i inny stek bzdur. :-P

  24. System GPG (GnuPG) został stworzony lata temu! Jest za free! Do użycia w każdej chwili! Użytkownicy systemów operacyjnych z prawdziwego zdarzenia mają to już od samej instalacji! Oczywiście prowizorka systemu z Redmond nigdy tego zintegrowała w swoim g..ym “systemie”! Dlaczego? Bo walczą o własne interesy, bo chcą by ich badziewia były na wierzchu! Wymyślili te swoje certyfikaty za które chcą by im płacić, a kto zechce wydać parę złotych za coś, co i tak nie jest wykorzystywane, urzędy mają swoje głupie zresztą zabezpieczenia, co urząd to kolejny głupi standard. Ludzie troją się o to, by nie skorzystać z darmowych i całkiem dobrych rozwiązań, bo ważne jest ich własne EGO, bo zabezpieczenie musi być ich!

    Durni są ci ludzie! Zamiast wymóc by wszystko było zabezpieczane w GPG, to się ludzie zgadzają na gówniane, drogie i nic niewarte zabezpieczenia.

    Kto wie, może za jakiś czas ktoś wymyśli kwadratowe koło! I co z tego, że nie da się na nim jeździć, ale to będzie ich rozwiązanie i kosztowne rozwiązanie, a głupi ludzie i tak kupią te kwadratowe koło, bo czemu nie! A potem będą się głupio żalić na to, że nie mogą ruszyć z miejsca!

    To nie firmy są głupie, tylko ludzie, którzy zawierzają takim głupim firmom i się zgadzają na wszystko!

  25. Aj waj, jacy to wszyscy craxiorzy…

    Tysiące pomysłów i sugestii na stuprocentowe zabezpiecznie elektronicznej faktury za metr ziemniaków.

    Już to widzę, jak statystyczny Kowalski używa GPG. Już to widzę jak statystyczny Kowalski nie gubi koperty z sekretnym hasłem przekazanym przy podpisaniu umowy z nadawcą. Już widzę te faktury od Niebezpiecznika za szkolenia w Avivie ;)

    To wkurwienie klientów takie wielkie jak czekają na połączenie z supportem. Te koszty tak cholernie rosną, bo Aviva musi zatrudnić studentów żeby tłumaczyli Kowalskiemu co różnicę między PGP a GPG, oraz między kliknięciem a podwójnym kliknięciem, co to jest pasek adresu w przeglądarce i jak włączyć komputer.

    • > Już to widzę jak statystyczny Kowalski nie gubi koperty
      > z sekretnym hasłem przekazanym przy podpisaniu
      > umowy z nadawcą

      Jakoś kart zdrapek z kodami jednorazowymi do potwierdzania operacji w banku nie gubią.

      > Tysiące pomysłów i sugestii na stuprocentowe
      > zabezpiecznie elektronicznej faktury za metr ziemniaków.

      Nie ma stuprocentowych zabezpieczeń, ale nie o fakturę za ziemniaki tu chodzi.

      Jeżeli ktoś ma w d… *SWOJE* dane osobowe, które na w polisie ubezpieczeniowej się znajdują (adres zamieszkania, numer PESEL, imiona rodziców, numer dowodu osobistego, itd. – w sam raz do wzięcia chwilówki u lichwiarza) to proszę bardzo, niech mu nawet operator wysyła wszystko na talerzu wraz z odciskiem palca i skanem tęczówki, z automatycznym forwardowaniem do NSA, GCHQ, BND, FRA, DGSE, FSB, chińskiego MBP, CBA, ABW i innych (cyber)przestępców.

      Ale ponieważ ja – i wielu innych – sobie tego kategorycznie nie życzymy, to psim obowiązkiem operatora/ubezpieczyciela/innych jest *MOJE* dane szanować, pilnie ich strzec i nieszyfrowanych *NIKOMU* nie przesyłać.

      Sapienti sat!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: