20:41
24/3/2014

Dwa dni temu, na jednym z TOR-owych forów dyskusyjnych jeden z użytkowników wystawił na sprzedaż login i hasło do systemu używanego przez pracowników firmy UPC, który ma zawierać dane klientów tej telewizji kablowej z terenu całej Polski.

Dostęp do danych klientów UPC na sprzedaż

Dostęp do danych klientów UPC na sprzedaż

Jakie dane są na sprzedaż?

Zgodnie z informacjami dostarczonymi przez internautę, w systemie mają znajdować się dane osobowe klientów UPC takie jak:

  • imie i nazwisko,
  • PESEL,
  • adres zamieszkania,
  • numer telefonu

…a także wszystkie dane zawierane z klientem na umowie, tj. aktuwowane usługi, cena/opłaty etc.

Sprzedający, aby udowodnić iż dostęp posiada, zamieścił kilka przykładowych rekordów abonentów z ul. Bora Komorowskiego w Warszawie (czekamy na wypowiedź UPC w tej sprawie, kiedy nadejdzie, zaktualizujemy ten artykuł — dodajmy jednak, że inni użytkownicy forum potwierdzili poprawność próbki danych):

Z wypowiedzi na forum wynika, że są już pierwsi chętni, chociaż sam autor wątku w swoim pierwszym wpisie zaznaczył, że login i hasło do systemu UPC sprzeda (cena nie padła) lub udostępni …za wskazówki co do tego, jak dostęp tego typu można by wykorzystać.

Komu może przydać się dostęp do bazy klientów UPC?

Poza automatycznie nasuwającą się na myśl konkurencją, warto zauważyć, że tego typu baza może posłużyć także do namierzania i weryfikacji tożsamości poszczególnych osób, oraz poszerzania danych na ich temat (np. numer PESEL często jest jednym z “sekretów” wykorzystywanych przez niektóre instytucje do “resetu” hasła telefonicznego). Wystarczy porównać ostatnie ataki socjotechniczne na Apple CloudID oraz Twittera aby docenić jak wielkim ułatwieniem mogą być dodatkowe dane na temat danej osoby.

Kim jest sprzedający?

Sprzedający niekoniecznie musi być pracownikiem UPC — mógł on przejąć kontrolę nad systemem komputerowym jednego z pracowników UPC (lub ich punktu sprzedaży) i w ten sposób wejść w posiadanie danych dostępowych. Choć tajemnicą poliszynela jest, że pracownicy operatorów telekomunikacyjnych nierzadko są w stanie wynosić bazy danych i odsprzedawać je konkurencji.

Jest jednak szansa, że UPC szybko namierzy pracownika, którego dane wyciekły i są oferowane na sprzedaż — o ile dostęp do systemu UPC jest logowany i jego dział bezpieczeństwa będzie mógł sprawdzić kto ostatnio odwoływał się do danych osób z ul. Bora Komorowskiego (a może wystarczy samo sprawdzenie ostatnich dostępów do systemu pod kątem adresów IP należących do end-pointów TOR-a? :). Klienci UPC nie powinni więc tracić nadziei — skoro dostęp do bazy jest “online’owy”, to po zmianie hasła pechowego pracownika, intruzi powinni zostać odcięci …o ile baza w całości nie została już przez nich skopiowana.

Klientom UPC sugerujemy zachować daleko idącą powściągliwość w przypadku ew. telefonów od osób podających się za pracowników UPC — tego typu telefony mogą być wykonywane przez osoby, które zakupiły bazę i na jej podstawie próbują pozyskać dodatkowe dane.

Na osłodę losu klientów UPC dodajmy, że w sieci TOR wystawione na sprzedaż były już bazy Orange, bazy Netii oraz TPSA — sprzedawał je za ok. 60 PLN od rekordu, obecnie wielki nieobecny, czyli nvm.

PS. Niedawno inny użytkownik tego samego forum ujawnił dane jednego z kapitanów ABW, które pozyskał przy pomocy skanowania polskiego internetu pod kątem znanej podatności w routerach Asusa. Może pozyskanie danych dostępowych do systemów UPC jest również wynikiem podobnej podatności?

Aktualizacja 11:10, 25 marca 2014
UPC przesłało nam następujące oświadczenie na zadane przez nas pytania:

    1. Czy UPC potwierdza, że opublikowane na forum dane są poprawne i pochodzą z wewnętrznej bazy UPC?
    2. Czy UPC udało się już namierzyć pracownika, którego dane dostępowe zostały wykradzione?
    3. W jaki sposób UPC zamierza ochronić swoich klientów przed skutkami nieautoryzowanego dostępu do ich danych?

W związku z informacjami o wycieku danych z naszego systemu, zapewniamy, że nasi specjaliści od bezpieczeństwa monitorują sytuację i niezwłocznie zablokowali dostęp do systemu, z którego nastąpił wyciek. Na podstawie dotychczasowych ustaleń wszystko wskazuje na to, że mogło dojść do przestępstwa, polegającego na nieuprawnionym wykorzystaniu hasła i loginu do systemu sprzedażowego przez jednego z naszych współpracowników. Dane opublikowane w sieci dotyczą 36 klientów i nie zawierają numerów PESEL ani haseł pozwalających logować się do systemu UPC. Zgodnie z obowiązującym prawem powiadomimy o zaistniałej sytuacji GIODO, a także klientów oraz organy ścigania. Jednocześnie prowadzimy intensywne postępowanie wyjaśniające, którego celem jest ustalenie winnych wycieku danych i zapobieżenie podobnym sytuacjom w przyszłości.

Michał Fura, Public Affairs and Corporate Communications Manager

Przeczytaj także:

64 komentarzy

Dodaj komentarz
  1. Mam dobre pytanie na poniedziałek z Prawnikiem.
    Co mogę zyskać lub czy w ogóle mogę rościć jakiekolwiek pretensje za wyciek moich danych? Jeżeli mogę to w jaki sposób?

    • Niewiele, albo wręcz nic. Takie wycieki zawsze rozchodzą się po kościach. GIODO nie kara.

      Co w sumie jest poniekąd zrozumiałe bo jaka w tym wina UPC? No może taka, że powinien być dostęp typu TWO FACTOR ATUTHENITCATION do takich systemów. O ile ograniczyloby to kradzież credenciali to nie uchroniłoby przed scenariuszem w którym atakującym jest pracownik mający token do 2FA.

      Na szczęście nie ma kart kredytowych chyba w tym systemie. Ja przynajmniej nic takiego UPC nie podawałem. Najbardziej żal peselu. Po co w ogóle kablówka go zbiera?

    • podpisuję się pod pytaniem, poza tym UPC jest chyba najbardziej beznadziejną firmą dystrybułującą usługi multimedialne z jaką miałem do czynienia, pracownicy tej firmy działają tylko w jedną stronę aby jak najwięcej nałapać osłów, a o starych klientach zapominają

    • To pytanie już było. Pierwsze w tym poście https://niebezpiecznik.pl/post/poniedzialek-z-prawnikiem-wycieki-danych-osobowych-odpowiedzi-na-wasze-pytania/

  2. Gdzie na tych zrzutach widać niby nr PESEL ?:>

    • przed nazwiskiem

  3. W ogóle to jest niestety dość żenująca firma. Zalogować się do konta klienta można za pomocą numeru PESEL (który wielkim sekretem przecież nie jest) oraz kilkucyfrowego numeru klienta (który też nie jest tak trudny do namierzenia lub zgadnięcia).

    Rozumiałbym to ew. jako sposób pierwszego logowania. Niestety, nawet kiedy ustawimy sobie w systemie jakiś login i skomplikowane hasło, logowanie za pomocą pesel+klient_id jest nadal aktywne. Zgłaszałem kilka razy, żeby dawali możliwość wyłączenia tej opcji – ale jak grochem o ścianę.

    • Już to zmieniają. Teraz trzeba założyć swoje konto.

    • ustalisz mi kilka peseli?

    • W ograniczonym zakresie: KRS

      W szerszym zakresie: wystarczy, że jesteś pracownikiem banku, dorabiasz klucze, urzędnikiem, pracujesz w salonie operatora tel. kom., funkcjonariuszem policji, monterem UPC, panią w alokoholowym, kolegą na imprezie na której wypiłeś za dużo… mam wymieniać dalej osoby, które mają dostęp do twojego numeru PESEL?

      Zresztą niezależnie od tego, czy możesz ustalić, czy nie: odgórne ograniczenie długości klucza do <21 bitów!? Poziom nędznego 8-znakowca albo <4-znakowego losowego [A-Za-z0-9]? I to powiązywalnego z użytkownikiem?

    • ja wiem kto ma dostep do nr PESEL, ja sie pytam czy ustalisz mi pare peseli czy dalej bedziesz roztropkował?

    • Nie, nie jestem – nie mam w zwyczaju grzebać swoim przyjaciołom w dokumentach. Tylko nie wiem, co próbujesz tym argumentem pokazać.

  4. W kraju w ktorym da sie wziac przez telefon kredyt na pesel, takie wydarzenia potrafia budzic niepokoj ;)

  5. generalnie wiekszosc firma teraz ma tendencje do zbierania wszelkich mozliwych danych pod byle jakim pretekstem, w sumie moze za to powinny byc karane, a nie za same wycieki

  6. Co z tego, że zmienią hasła skoro dostęp włamywacz mógł uzyskać “zdalnie”, a nie zaglądając przez ramię jak ktoś się loguje ?

    PS. Co z tym “Mam też dostęp do innych systemów firm telekomunikacyjnych” ? Zmyłka mająca odwrócić podejrzenia np. od pracownika UPC czy gość faktycznie może mieć taki dostęp ? Kim wtedy mógłby być ? Jakiś support IT ?

  7. Przypominając, że numer abonenta i numer pesel/nip są loginem i hasłem do e-faktury to dodatkowo można będzie zobaczyć historię wszystkich faktur i spawdzić, czy warto kupionego klienta nękać fajnymi ofertami :-)

  8. Konkurencja UPC (Vectra) także wykorzystuje do logowania PESEL :-(

  9. 24.02.2014 r. przyleciały do mnie dwa scamy na e-mail założony w UPC p.nazwisko26@upcpoczta.pl
    Kiedyś przyleciały też scamy na e-mail założony na zbiorniku.
    Nikt tych e-maili nie znał, bo nie używałem ich.
    Najprawdopodobniej wyciekły.

  10. Ostatnio, gdy był u mnie monter i logował się na moim kompie bez problemu mógłbym przechwycić jego login i hasło mając najprostszy keylogger…

  11. Włamu nie było a winni są pracownicy i ich “znajomi” więc co UPC ma zrobić? Zakazywać znajomości?

    • “Włamu nie było a winni są pracownicy i ich “znajomi” więc co UPC ma zrobić? Zakazywać znajomości?”

      Zaprojektować system tak, żeby szeregowy sprzedawca nie miał możliwości masowego przeglądania danych klientów.

  12. Ja na swoim kompie widze z 15 wifek z vectry, gdyby hasła do nich wyciekły to by była tragedia, bo tam chyba nie da się ich zmienić:)

  13. Że tak powiem: heh heh heh… To tak w ramach odpowiedzi do osoby, która kilka artykułów wcześniej pytała, skąd niby można mieć PESEL, żeby zalogować się do UPC. Jak widać – z samego UPC ;).

    Co ciekawe, np. za zachodnią granicą Liberty Global stosuje już normalny login i hasło, a nie dane osobowe klientów.

    Jeśli chodzi o drogi ataku, to nie musiał to być pracownik. Dwie alternatywne teorie:
    1. Wyciek dziwnie zbiegł się w czasie z wprowadzeniem nowej wersji serwisu. Jak mniemam to nie pracownicy UPC produkowali i wdrażali ten soft. Mógł ktoś z zewnętrznej firmy zrobić zrzut bazy.
    2. Na stronie logowania UPC wykonywane są skrypty z netmng.com, tiqcdn.com i livechatinc.com. Tym samym UPC daje niekontrolowany dostęp do danych logowania trzem innym podmiotom. Wystarczy, że atakujący przejął któryś ze skryptów. Zresztą skrypty z tych serwerów odpalane są też już po zalogowaniu w panelu klienta, więc mają dostęp do wszystkich danych bezpośrednio.

    • Uhh.. przeoczyłem, że oferuje jedynie hasło/login, a nie całą bazę. Zatem punkt drugi odpada. Ale pierwszy nadal aktualny.

    • Autor tej oferty sam napisał:
      >>Nie chodzi tu o “dziury na stronie” a o swojego zaufanego/nieświadomego pracownika w danej firmie

  14. Wydawało mi się może, ale podczas “aktywacji” usług serwisant który montował kabelek i modem “logował” się na provisioning.upc.pl korzystając z 2-factor-auth – wnioskuję po tym, że grzebał w telefonie.
    Ale czy szukał zapisanego tam hasła, czy też jest hasło SMS, tego nie wiem…

  15. Nie widze na tych screenach numeru pesel ;) Btw dlaczego uwazacie ze pesel jest słabym zabezpieczenie ? Nikt nie chwali sie dowodem osobistym na lewo i prawo, można również wziąć kredyt podając pesel telefonicznie ;)

  16. Głównym problemem jest to, że wiele firm traktuje PESEL jakby był znany tylko właścicielowi a nazwisko panieńskie matki jako super tajne hasło.

  17. Pytanie co można zrobić z taką bazą danych?
    W brew pozorom dużo, mamy przypisane pakiety jak i prędkości neta, w zależności jak sie je połączy to można sobie sprawić neta 250mb/s za free (o ile posiadamy modem z upc) ale szczegółów nie zdradzę….
    Ale ktoś kto nie wie co z taka bazą może zrobić nic nie zrobi bo samo posiadanie nie oznacza że akurat w tym przypadku coś zdziała w tej dziedzinie zwłaszcza biorąc pod uwagę inne czynniki :)

    • > Ale ktoś kto nie wie co z taka bazą może zrobić nic nie zrobi bo samo posiadanie nie
      > oznacza że akurat w tym przypadku coś zdziała w tej dziedzinie zwłaszcza biorąc pod
      > uwagę inne czynniki :)

      ……What??!
      Co to za rozjechana zdanio-dżdżownica? Ni w ząb nie da się tego zrozumieć.

    • Powiem Ci stary, że naprawdę musiałbyś się nieco napracować by sobie podpiąć taki pakiet. Przy okazji włamać się do systemu provisioningu (a nie wszyscy mają do niego dostęp primo, poza tym jest kilka poziomów uprawnień) ;)

  18. PESEL to chyba pierwsze pole zasłonięte przed nazwiskiem

  19. Tu macie jak wyciagnac pesele z UPC: http://forum.mediaswiat.pl/viewtopic.php?t=7547

  20. Przede wszystkim można skorzystać na dzwonieniu od wszystkich którzy mają telefon w UPC można dzwonić przez aplikację android/ios UPC Phone więc może być nie miło jak kupią tą Chińczycy i będą dzwonić do rodzin.

  21. @ahahaha777: też dostałem wtedy spam na @upcpoczta.pl. Tez na mail nieużywany (forwarduję go tylko na swoją pocztę – nawet nie znam hasła do ich systemu) i zdecydowanie nigdzie nie podawany.
    Zbiegło to się również z głuchymi telefonami z numeru 224612405. Zgłosiłem to niebezpiecznikowi, ale niestety było zbyt mało dowodów na poparcie tezy, że to z UPC.
    A teraz proszę – to już chyba spory dowód :)

  22. Przeraża mnie, że ludzie którzy mają dostęp do takich rzeczy nie potrafią pisać.

  23. Ta baza już dawno ‘wyciekła’, osobiście byłem celem phishingu (SMS rzekomo od UPC o zmianie numeru rachunku bankowego na który mam wpłacać opłaty abonamentowe).

    Sprawę zgłosiłem UPC (przy okazji upewniając się, czy oby rzeczywiście nie mój operator wpadł na tak ‘genialny’ pomysł informowania klientów o zmianie numeru rachunku).

    Miało to miejsce w okolicach grudnia.

    PS. Z tego co pamiętam, podczas instalacji/autoryzacji usługi u mnie w domu, monter korzystał z mojego komputera podczas uzyskiwania dostępu do systemów UPC. Nie wiem czy logował się do tego samego systemu o którym mowa, ale wiem, że keylogger by rozwiązał sprawę pozyskania loginu i hasła.

  24. Potwierdzam, baza była wykradziona już dawno

  25. hmm ciekawe jak skonczyla sie podobna afera z wyciekiem danych Netii? bo oni tez dali czadu.

  26. “Co w sumie jest poniekąd zrozumiałe bo jaka w tym wina UPC? ”

    Oczywiście jest winą UPC, że szeregowy pracownik sprzedaży może wyciągnąć masowe dane. System projektuje się w taki sposób, żeby nie było takiej możliwości. Nie mówimy przecież o ataku wykwalifikowanych włamywaczy, tylko o “wyklikaniu” sobie danych klientów przez sprzedawcę.

  27. Spokojnie. Na tych screenach nie ma peselka. Aby wyciągnąć pesel z takiego systemu musi się zagłębić troszkę więcej. Widać tu tylko imię nazwisko nr abonenta adres posiadane usługi opłaty i okres zobowiązania.
    Moim skromnym zdaniem nie zrobił tego pracownik upc tylko jakaś osoba trzecia. Pracownicy firmy podpisują klauzule dotyczącą udostępnienia danych osobowych osobom trzecim. Mają naprawde wysokie kary za każdy rekord. Tylko idiota mógłby taki coś zrobić

  28. Szkoda tylko, że do systemu fakturowego UPC wystarczy numer klient i… PESEL… A jak to mamy to mamy pełne dane klienta i jego historię.

  29. wlasnie zastanawia mnie kto moglby wpasc na to i to zrobic. nie wiedza jakie są kary za to.? i chyba zostaje slad po tym ktroy z pracownikow cos takiego zrobil…

  30. W zeszłym roku zadzwoniła do mnie kobieta z Vectry z zapytaniem czy nie chce do nich przejść z UPC. Na pytanie skąd mają mój telefon rozłączyła się. Znała moje imię nazwisko, adres , telefon. Zadzwoniłam do UPC zgłosić sprawę i umyli rączki.

  31. Oczywiste jest to, że typek tam pracuje. UPC ma dostęp do danych innych firm bo za to jest odpowiedzialny dział marketingu tej firmy. Pewnie jakiś typek z obsługi klienta lub callcenter, który pracuje na tyle długo by mieć znajomości w it i jest na tyle sfrustrowany, że nie myśli i robi głupie rzeczy. On tego pożałuje ważne by zmądrzał jak będzie siedział po wyroku.

  32. Zadałem pytanie upc, dostałem dokładnie taką samą odpowiedz :) widzę, że wyprodukowali wzór odpowiedzi

  33. Kiedys wpadł mi w ręce komp znajomego analityka z pełnymi danymi wszystkim klientów korporacji która ma jakiś 80% udział w rynku polskim popularnych produktów.
    Było tam wszystko (sprzedaż miesięczna,roczna,kto ile płacił za to samo,wszystko pięknie wyciagniete z Sapa i skonsolidowane dla kadry zarządzającej, ok 300GB danych,
    Olałem to ,ale jak widać wyciek danych może mieć wiele miejsc,wcale nie potrzeba loginów :)

  34. czysta nieuwaga lub działanie na szkode przez jakiegoś z pracowiników… tak czy siak niefajna sytuacja. Dobrze chociaż, że UPC natychmiastowo napisało wyjasnienie i nie stara się umyć od tego rąk.

  35. Tak swoją drogą to czemu niebezpiecznik pisze o wycieku z UPC, a nie pisał o wycieku z Orange o którym było głośno w grudniu? Przeoczyliście tamtą historię, czy był jakiś inny powód?

    • Podeślij na redakcja@niebezpiecznik info ze szczegółami.

    • http://www.pb.pl/3480801,67948,skradziono-dane-klientow-orange

      Głośno o tym było wtedy, a tłumaczenia rzecznika Orange był dosyć żenujące…

    • Rzeczywiście musiało nam umknąć, zaktualizowałem artykuł (w ostatnim akapicie) dopisując i ten wyciek do Netiowego i TPsowego (jak widać o poprzedniku Orange już raz pisaliśmy ;)

  36. Super, a potem się dziwić ze przychodzą faktury do zapłaty za abonament którego się nie podpisywało, bo jakiś debil sprzedał bazę danych, a drugi debil ja wykorzystał żeby komuś narobić problemów.

    Pewnego dnia przychodzę do domu i czeka na mnie faktura do zapłaty na kwotę 233zl, w trakcie wyjaśniania sprawy okazało się ze ktoś na moje dane tzn: imię, nazwisko, pesel i powiedzmy adres(była celowa pomyłka), a jedyne co się nie zgadza to seria dowodu, wziął sobie najdroższy abonament i fajny telefon za 1zl. A nade mną wisi faktura na 6000zl ( niezapłacone faktury + koszt zerwania umowy ). Na szczęście w porę się udało to wykryć zanim windykacja / komornik zaczął działać i sprawa zajmuje się policja ( a wiadomo jak oni działają w Polsce ).

    Dowodu osobistego nie zgubiłem, i do tej pory się zastanawiam jak stok wszedł w posiadanie moich danych, teraz już wiem jak to wygląda, a umowa zawarta kurierem wiec, któremu nie chciało albo specjalnie nie sprawdził danych z dowodem.

    Wiec takie dane spokojnie mogą służyć tez do oszustw.

    • takie dane wyciekaly niejednemu opratorowi. patrz orange. patrz netia. a takie afery z fakturami sa nagminne. ja mam tak w vectrze. i to jest skandal jaki syf oni maja u siebie.

  37. Takie pytanie z innej beczki… Przeglądanie takiego czy innego forum przez TOR jest bezpieczne/legalne? W sensie czy bezpiecznie jest tylko “przeglądać” takie fora za pomocą swojego domowego internetu??

  38. A co może być niebezpieczne w “przeglądaniu”, bez sensu. Tak samo “przeglądasz” jak każde inne forum….

  39. Wszędzie ci wolno popatrzeć, na razie…

  40. […] krakowskiej Policji w sprawie zeszłotygodniowego wycieku danych klientów UPC (o samym wycieku pisaliśmy tutaj). Koniec końców, udało nam się namierzyć osobę, która przez (jak się później okazało) […]

  41. […] informował, że wraz z policją udało nam się namierzyć osobę, która kilkanaście dni temu oferowała na sprzedaż dane klientów UPC, oraz jej wspólnika. Niestety policja miała mieć problem z ustaleniem ich aktualnego miejsca […]

  42. Bezpieczeństwo usług UPC (stary panel klienta) – jest jak świnka morska… ani świnka, ani morska. Do zalogowania (klient firmowy) wystarczy numer klienta i NIP firmy.
    Jedno i drugie znajduje się na fakturze…

  43. […] ofiary (np. na Allegro czy w banku), co może przełożyć się na finansowy zysk. W tym przypadku, podobnie jak i w przypadku wycieku bazy z UPC, opublikowano dane osobowe wraz z adresami […]

  44. myślę że tak się sprzedać tego to nie da, bo upc chyba pilnuje danych, tak powinno być. A biorąc pod uwagę gowork.pl/opinie_czytaj,31496 to myślę że są porządną firmą i nie pozwoliliby sobie na coś takiego

  45. Jestem klientem UPC moje dane (imie nazwisko zły kod pocztowy taki jak na fakturach z upc i pełny adres)już pojawiły sie w firmach wyłudzających pieniądze ale jak zwykle nikt za to nie ponosi odpowiedzialności to jest tylko możliwe w polsce.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.