25/5/2020
Pewien serwis telefonów komórkowych umożliwiał klientom zarządzanie statusem naprawy przez stronę internetową. Niestety, tak naprawdę każdy internauta mógł za klienta podjąć decyzję co zrobić z jego sprzętem — w tym, zniszczyć mu go. Zdalnie. klinięciem…
Znów numerek w linku winny!
Firma Cyfrowe Centrum Serwisowe oferuje gwarancyjne i pogwarancyjne naprawy telefonów. Przy tego typu usługach nierzadko zachodzi potrzeba skontaktowania się z klientem, powiadomienia go o statusie naprawy i umożliwienia mu podjęcia decyzji o dalszych losach urządzenia (naprawiać, nie naprawiać, zezłomować etc.). Wspomniana wyżej firma postanowiła to zrobić za pośrednictwem swojej strony internetowej. Pomysł dobry, ale wykonanie niestety wadliwe…
Nasz Czytelnik Mateusz zgłosił nam, że link do strony umożliwiającej podjęcie decyzji miał następującą postać:
http://78.11.116.14/wz/index.php?wz=wz1kosztorys&zgloszenie=${zid}&naprawa=${nid}
Problem w tym, że parametr ${zid} był całkowicie ignorowany, natomiast parametr ${nid} to wartość wyrażona samymi cyframi, a zatem można próbować go zgadywać. Mateusz ustalił, próbując na chybił trafił, że dało się trafić w podstrony ze statusem naprawy czyjegoś sprzętu.
Strony pokazane na zrzutach miały numery napraw złożone z 10 cyfr. Uprzedzamy jednak, że aktywne strony z informacjami o kosztach nie znajdowały się na każdym z możliwych 10-cyfrowych identyfikatorów. Przy pobieżnych próbach trafialiśmy mniej więcej w 2-3 przypadki na 10 możliwych, a ponadto część stron zawierała informacje o zgłoszeniach już zrealizowanych.
Ale te zgłoszenia, które pozostały jako niezrealizowane, stanowiły dość poważny problem dla zlecających. Po pierwsze, każda osoba trafiająca na tę stronę mogła podjąć decyzję o wyrażeniu zgody na naprawdę lub o utylizacji urządzenia.
Oraz jak zwykle — wyciek danych klientów…
Co więcej, jak doniósł nam Mateusz, wybierając zgodę na odpłatną naprawę uzyskiwało się dostęp do danych klienta – imienia, nazwiska, adresu oraz danych do faktury.
Już naprawione
Dziś rano zgłosiliśmy problem firmie Cyfrowe Centrum Serwisowe S.A.. To samo wcześniej zrobił Mateusz. Wiceprezes Robert Frączek już poinformował nas o usunięciu problemu i obiecał przesłanie odpowiedzi na pytania w późniejszym czasie. W momencie publikowania tego tekstu strony ze statusem napraw nie były już dostępne, a widoczny był jedynie komunikat o przerwie technicznej. Cieszy nas szybka reakcja firmy. Wpadka może się zdarzyć zawsze i każdemu, ale liczy się by na takie problemy reagować sprawnie i zdecydowanie.
Nie taki rzadki błąd
Już wcześniej nie raz pisaliśmy o różnych problemach z usługami serwisów. Firmy tego typu potrafią iść na skróty w przetwarzaniu danych, czego najbardziej jaskrawym przykładem był serwis zabezpieczający dane klientów jednym hasłem podawanym do wiadomości wielu osób.
Osobnym i niestety wciąż spotykanym problemem jest udostępnianie klientowi informację przez stronę publicznie dostępną, z nadzieją iż nikt nie odgadnie jaki jest adres tej strony. W ten sposób wyciekły dane klientów wielu serwisów, m.in. Allepaznokcie, a ostatnio takie strony z zamówieniami klientów MediaMarkt zostały zindeksowane przez Google.
Uwaga na zakupy i usługi przez internet
Zakupy w sklepach internetowych i generalnie — korzystanie z usług przez internet — to nie taka prosta sprawa, jak mogłoby się wydawać. Wiele rzeczy może pójść nie tak. Od braku otrzymania produktu przez stratę pieniędzy aż do wycieku naszych danych (nie tylko) osobowych. Jak nie stracić kasy i się przed tym wszystkim zabezpieczyć?
O tym opowiemy w trakcie naszego webinaru “Jak bezpiecznie kupować i płacić przez internet“. Webinar odbędzie się 4 czerwca o godz. 20:00, a zarejestrować na niego możecie się tutaj. Z hasłem “ZEZŁOMUJMNIE” otrzymacie 20 PLN rabatu na zapis. Nie odwlekajcie decyzji, bo cena każdego dnia o północy rośnie.
Aktualizacja 27.05.2020 8:11
Spółka Cyfrowe Centrum Serwisowe informowała nas telefonicznie o naprawieniu problemu, a wczoraj po południu przesłała nam dodatkowe oświadczenia i wyjaśnienia. Godne podkreślenia są zwłaszcza dwie rzeczy.
- Znaczna część podmiotów, z którymi serwis prowadzi komunikację przy użyciu formularza akceptacyjnego to punkty sprzedaży (operatorskie bądź open-marketowe), których dane adresowe czy identyfikacyjne nie stanowią danych osobowych (te nie są osobami fizycznymi).
- Logi akceptacji kosztorysów (a dokładniej wywołania usługi za pomocą linka) zostały poddane analizie pod kątem ewentualnego pozyskania danych osobowych przez osobę nieuprawnioną.
Po naszym zgłoszeniu mechanizm potwierdzania kosztorysów został zablokowany, po czym wprowadzono w nim zmiany. Spółka zapowiada przegląd wszystkich pozostałych form automatycznej komunikacji z Klientem, rozważa wprowadzenie dodatkowych zabezpieczeń i monitorowanie sytuacji. Formularz akceptacyjny nie posiada aktualnie danych odbiorcy i płatnika. Działanie systemu po zmianach będzie monitorowane pod kątem bezpieczeństwa.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Niech to całe CCS padnie i będzie spokój. Nastawieni tylko i wyłącznie na naprawę za pieniądze. Kiedyś ładowarka wypaliła mi złącze USB. Wysłałem tel na gwarancje i po 2 tygodniach dostałem info, że spalona płyta główna i koszt naprawy 1600zl a cena tel wtedy oscylowała koło 800. Wziąłem sprawy w swoje ręce i za 80zl naprawiłem tel.
Na stronie już widnieje informacja o pracach nad systemem:
“Szanowni Państwo,
Z uwagi na trwające prace konserwacyjne systemów informatycznych naszego serwisu prosimy o przekazanie decyzji w sprawie otrzymanej drogą mailową informacji zachowując ciągłość korespondencji.”
Dobrze że się za to chociaż zabrali
Ehh CCS… Działają bo działają, do jakości usług raczej nie mam zastrzeżeń ale… Strona Internetowa, a w szczególności ta część wyświetlająca status naprawy mogłaby być bardziej dopracowana.
Kiedyś wysyłałem tam pewnego Huawei który od noszenia w kieszeni wygiął się o kilka stopni (!) i to co nie podoba mi się najbardziej to wypełnianie formularza zgłoszeniowego na papierze małym druczkiem. Na szczęście pytania w sprawie podjęcia decyzji dostawałem na maila. (uff)
“Osobnym i niestety wciąż spotykanym problemem jest udostępnianie klientowi informację przez stronę publicznie dostępną, z nadzieją iż nikt nie odgadnie jaki jest adres tej strony.”
Ja mam problem ze zrozumieniem tego argumentu. ;) Jesli wsadzimy UUID w url (https), to jedyny downside to ze bedzie w historii przegladarki. Poza tym, nie rozni sie to niczym od cookiesa z identyfikatorem sesji. What am I missing? (pojawia sie oczywiscie pytanie, czy taki URL jest wysylany np. emailem – w takim przypadku pewnie lepiej jest miec dodatkowe uwierzytelnianie, bo nie kazdy serwer email mowi TLS z innymi serwerami). Cos jeszcze?
Chyba nie zauważyłeś, że w artykule było wyraźnie wspomniane, iż w tym systemie nie było UUID, a zwykła 10 cyfrowa liczba, po której łatwo było iterować.
Zauwazylem. Argument natomiast powtarzany jest w kolko przez wiele osob poza tym artykulem tez, i jest stosowany jako porada ktorej zawsze trzeba sluchac “jak to tylko link, bez uwierzytelniania?!?”. Dlatego chcialem poznac argumenty osób ktore slepo w tę poradę wierzą.
A ja bym zwrócił uwagę Czytelnika Mateusza na Art. 267. kk (Bezprawne uzyskanie informacji) bo zdaje się “Mateusz ustalił, próbując na chybił trafił, że dało się trafić w podstrony ze statusem naprawy czyjegoś sprzętu.” było działaniem celowym i nakierowanym na uzyskanie informacji nie przeznaczonej dla Czytelnika Mateusza. Kodeks karny jasno przewiduje penalizację takich zachowań – czy nie warto również na ten aspekt było zwrócić uwagę droga redakcjo?
Nie, nie warto. Bo: https://niebezpiecznik.pl/post/od-27-kwietnia-nie-musisz-zakladac-kominiarki-do-komputera/
oj chyba przydałby się chyba redakcji kontakt z jakimś dobrym adwokatem, może jakieś odpłatne szkolenie w tej materii? art. 267 mówi o zupełnie innej sytuacji niż art. 269 kk, proszę nie wprowadzać czytelników w błąd. Istotą przestępstwa z art. 267 § 1 k.k. jest to, że sprawca nie znając sposobu zabezpieczenia (np. kodów dostępu do określonych informacji, czy też treści haseł) po zastosowaniu, podjęciu pewnych działań (w tym np. rozszyfrowanie kodu lub hasła dostępu do informacji) bądź dokonuje przełamania takiego szczególnego zabezpieczenia bądź takie szczególne zabezpieczenie omija.
“(…) wyrażeniu zgody na naprawdę” – powinno być “naprawę”. :]