10:15
11/7/2017

Kilka dni temu na Facebooku jeden z klientów Energi pochwalił się odpowiedzią, jaką otrzymał od konsultanta tej firmy.

No więc fakt, że nie mogłem się zarejestrować z linku aktywacyjnego wygenerowanego przez doradcę, z którym podpisywałem umowę, uznałem za względnie normalny: czasem tak jest, że system informatyczny ma aktualizację i ta aktualizacja naprawia jeden problem, a rykoszetem generuje dwa inne i zanim to się ogarnie, to musi polecieć krew kilku niewinnych ofiar; takie sytuacje oczywiście nie powinny mieć miejsca, jednak się dzieją (por. Kustosz IPA z browaru Van Pur, ostatni benefis Jana Pietrzaka czy klasycznie: Holocaust).

Że przesympatyczna konsultantka, której imienia nie pamiętam, ale mam nagrane, bo z automatu nagrywam rozmowy wszystkie, i z którą na linii spędziłem piętnastominutowy spacer po mieście w czerwcowym wtedy jeszcze słońcu nie była mi w stanie pomóc – zrozumiałem, bo co ona biedna może, że IT zjebało, a w ogóle to za nich przeprosiła i trzy, to muzyczką na czekanie u was jest przyjemny groove, co mnie zaskoczyło i też ustawiło pozytywnie na całą rozmowę.

(No i potem że na maile odpisujecie jak to na listy: pod wieczór następnego dnia – też przeżyłem. Sezon w pełni, sam mam urlop, rozumiem, spoko).

Ale moment, w którym dział obsługi klienta potężnej firmy, w której głównym udziałowcem jest skarb mojego państwa, sugeruje swoim klientom zmianę wygenerowanego automatycznie i – w sumie zgodnie ze sztuką – silnego hasła, na takie samo dla wszystkich: Energa2017, to to jest moment, w którym ręce mi opadają. A że siedzę przy kompie, to akurat na klawiaturę.

Cytujemy tę wpadkę głównie po to, aby pokazać jak ważna jest edukacja swoich pracowników w zakresie świadomości (nie)bezpieczeństwa. nie tylko po to, żeby nie przekazywali innym niezbyt rozsądnych rad, ale żeby i sami nie stosowali podobnego myślenia… ;)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

23 komentarzy

Dodaj komentarz
  1. szacun za nie zamazanie adresu maila dla raportującego :) ja bym nie miał jaj.

    • My też nie, ale sam to opublikował na FB w takiej formie.

  2. Och, czepiacie się. Konsultant chciał ułatwić pracę z systemem, w dodatku wielu klientom, bo jak ktoś zapomni hasła, to konsultant powie “a proszę spróbować Energia2017” – i kolejny zadowolony klient. :)))
    A teraz trzeba dzwonić, czekać, generować linki i nowe hasła – same utrudnienia.

    • Co niby może zyskać włamyczacz mając dostęp do czyjegoś konta Energa ? .
      Kasy nie wybierze, co najwyżej z danymi się zapozna ,ale tych na FB pełno łącznie z scanami dowodów osobistych :)

    • Może np. sprawdzić, kiedy używasz prądu, a kiedy nie (z dokładnością do 15 min., dzięki nowym szpiegującym licznikom) – czyli kiedy nie ma cię w domu, co w połączeniu z adresem daje wiele możliwości.
      Albo zapłacić skradzioną kartą, przez co możesz mieć spore nieprzyjemności przy wyjaśnianiu tego.

    • Na sprawdzenie czy ktoś jest w w mieszkaniu , domu jest milion innych sposobów np. aktywność na FB, aktywność w internecie ( np. dostawca internetu może sprawdzić – jak jesteś w mieszkaniu to korzystasz z netu ) czy nawet za pomocą geolokalizacji telefonu komórkowego, albo zwykła obserwacja z oddali :). Można to też zrobić na np. ” kuriera” pizze, podszycie pod kolegę na FB itd. lub innych milion sposobów. Ludzie zachowują się schematycznie , zawsze podobnie :) i chodzą do pracy ^^ .

      Zapłacić skradzioną kartą ?-możesz rozwinąć myśl?

    • Analogicznie: wyobraź sobie, że zostałeś przyłapany na próbie zapłaty w sklepie fałszywymi pieniędzmi. Nie czyni cię to automatycznie fałszerzem, ale podejrzanym już tak. Teraz musisz się tłumaczyć, że to nieprawda, że musiałeś te fałszywki od kogoś dostać itd., a przecież na słowo nikt ci nie uwierzy (szczególnie w tak poważnej sprawie).
      Tak samo może być w przypadku użycia kradzionej karty (chociaż trudno mi sobie wyobrazić, po co ktoś miałby to robić oprócz zwykłej złośliwości i sytuacji, że komuś się naraziłeś).

      Co do pozostałych technik:
      – aktywność na FB – jak ktoś jest debilem i pisze, że będzie przez 2 tygodnie poza domem, to jego sprawa i jego wina
      – dostawca internetu – najpierw trzeba tam pracować (niewielka trudność), ale masz rację, to jest ryzyko
      – geolokalizacja telefonu – trudne do wykonania, przynajmniej dla laika
      Pozostałe “offline’owe” metody oczywiście nie zostały wyparte przez technikę, ale z nią jest łatwiej.
      Co do chodzenia do pracy – racja, ale informacja o dłuższej nieobecności, np. wakacje byłaby dużo gorsza.

    • Mało prawdopodobne żeby ktoś był tak “dobry” i płacił nam rachunki za prąd. Nie da się również tym sposobem kogoś „wrobić” bo :
      – różne adresy IP
      -różne typy urządzeń , różniące się numerami ( czy nawet tkz. odciskami przeglądarki )

      Już prościej zassać pornografię dziecięcą – ale należałoby to zrobić z adresu IP domownika ofiary z jego komputera i w obecności ofiary co jest mało realne .
      Żeby to jeszcze bardziej uwiarygodnić to konieczne byłoby założenie konta na walutę cyfrową i jeszcze dużo innych dodatków jak symulowanie aktywności pedofila itd.

      Można postawić koło domu ofiary AP:) bo przeważająca większość telefonów łączy się z automatu. Wcale gość nie musi być nieobecny przez kilka tygodni . Teoretycznie wystarczy 3 godziny ,albo nawet mniej żeby kogoś okraść.

      Jak sprawdzić czy jest w domu? To bardzo proste . Wystarczy zagadać do ofiary na FB . Z komórki człowiek pisze wolniej niż z komputera :) Znaczna większość polaków korzysta w domu z laptopa , komputera ,a w szkole z komórki.

      Jak ktoś kradnie – to i tak robi wywiad wcześniej :)

    • @MM, ze mną nie byłoby tak łatwo, zachowuję się bardzo nieschematycznie, korzystam z kilku różnych aplikacji klawiatur i od tego zależy moja interpunkcja, której czasem nie ma. Przy dłuższych wiadomościach zawsze jest ona jednak poprawna (umiejętnie korzystam z półpauz, dywizów, „”, ‘…’ zamiast ‘…’), a na telefonie piszę w sumie szybciej niż na laptopie… Czasem, jak nie chce mi się wstać, siedząc ze smartfonem korzystam z komputera po SSH

    • m4sk1n
      sprawa tyczy się mas, a nie pojedynczych owieczek , na których wilkowi i tak nie zależy.
      90% użytkowników FB da się złapać tradycyjnymi metodami – to po co tracić energię ?

  3. I tym wpisem właśnie pokazaliście jakie hasło może mieć ustawione tysiące użyszkodników platformy energa-i. Proponowałbym wyblurować hasło na zdjęciu, i wykropkować w tekście.

    Chcecie pokazać security breach Energa-i, a sami go łamiecie.

    Kłania się ISO 27001

    • Zgadnij, co Energa powinna zrobić 5 dni temu, kiedy sprawa była z milionowymi zasięgami komunikowana na FB.

    • To co powinna zrobić Energa to jedno, to co powinien zrobić klient Energi na FB to drugie, a to co powinien zrobić Niebezpiecznik to trzecie.
      Po co powielać ZŁE praktyki, jak można dać dobry przykład. I to jeszcze na portalu traktującym o bezpieczeństwie. Ech…

    • MVW: Co w takim razie proponujesz? Hasło zostało napisane i już dawno zostało zapamiętane we wszelakich cache i wyszukiwarkach, więc próbę ukrycia go trudno mi nawet nazwać; napisać, że to bez sensu to zdecydowanie zbyt mało. Szczególnie, że ktoś zainteresowany nadużyciem nie poprzestanie na przeczytaniu kawałka newsa na Niebezpieczniku.

    • > Co niby może zyskać włamyczacz mając
      > dostęp do czyjegoś konta Energa ? .
      > Kasy nie wybierze, co najwyżej z danymi się zapozna ,

      Na przykład dowie się gdzie mieszkam – kategorycznie nie życzę sobie tego.
      I jeszcze pozna mój PESEL i trochę innych danych, które bez problemu pozwolą mu wziąć na mnie chwilówkę, którą będę musiał spłacać ja.

      Jest dla mnie szokujące, że w tym kraju podanie pewnego zestawu danych o danej osobie uważa się za uwierzytelnienie. Nie rozumiem, dlaczego państwo patrzy na to przez palce – równie dobrze mogłoby przy kontroli granicznej zamiast prosić o paszport, pytać o zestaw danych osobowych i na tej podstawie wpuszczać ludzi do Polski.

      Kuriozum!

      > ale tych na FB pełno łącznie z scanami dowodów osobistych :)

      To ma być argument? Głupota innych nie usprawiedliwia głupoty własnej.

      Energa powinna dostać za to ostro po d…
      Może po GDPR coś się zmieni, chociaż w to wątpię.

    • Głupie tłumaczenie jak dla mnie ze strony Niebezpiecznika. Dlaczego w takim razie URLe traktujecie hxxp a nie podajecie w oryginale? Dokładnie ta sama sytuacja.

    • Bo kliknięcie w http może Cię zainfekować. Jest różnica?

  4. I to jeszcze e-mail wysyłany bez TLS-a…

  5. To nie pierwsza wpadka, konsultantów Energa S.A. Wcześniej składali ludziom propozycję obniżenia rachunku i jeśli się zgodziłeś, to wysyłali do ciebie umowę mniej korzystną i wbrew przepisom o obowiązku własnoręcznego jej podpisu i odesłania do zatwierdzenia, robili to po staremu. Czyli wiedzieli lepiej że i tak byś jej nie podpisał gdybyś przeczytał, więc zatwierdzali ją jakbyś podpisał własnoręcznym podpisem i nie rozumieli w czym jest problem (przecież powinniśmy cieszyć się z takiej głupoty :)). Ich mózgi są genialnie zaprogramowane na niekorzystne działanie dla swoich klientów? Chyba szkoli je konkurencja, chcąca wyeliminować ich z rynku?

  6. Nikt nie zdradził ogólnego hasła.
    Gdyby komuś chciało się odszukać oryginalny wątek, to by wiedział, że to konsultant wykazał się głupotą jakich mało, bo próbował namówić klienta na ustawienie hasła, które nie spełnia wymogów hasła w platformie energa. Śledziłem ten temat od początku, bo znam Remka i doszło to do mnie dość szybko. Więc nie ma o co strzępić języka i wytykać ISO 27001

  7. Its a future guys… Gmail2017, Eurobank2017, Server2017… to chyba wczesna implementacja “Jedno hasło, Wiele usług”

    • Czyli dążą do tego, żeby cały Internet zmieścił się na jednej dyskietce? A na jej etykiecie nie będzie czasem napisu “Tango down”? ;o)

  8. Ja mam problem zawsze z RWE/Inoggy. Żeby zmienić hasło po resecie muszę użyć trybu developera w przeglądarce i wywalić kilka tagów. Nawet zgłosiłem to ale potraktowano mnie jak debila. Może faktycznie jestem głupi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: