20:01
21/2/2018

Czasem chcielibyśmy wiedzieć, do kogo należy jakiś numer telefonu komórkowego. Okazuje się, że jeśli właściciel ma konto SkyCash (Mobiparking), to bardzo łatwo zdobędziemy jego dane osobowe.

Wprowadzasz numer, dostajesz nazwisko

O aplikacji SkyCash już kiedyś pisaliśmy (por. Atak na SkyCash, użytkownicy powinni dmuchać na zimne i zmienić hasła). Aplikacja umożliwia m.in. kupowanie biletów, doładowywanie telefonów czy płacenie za parkingi. Pozwala też na przesyłanie pieniędzy pomiędzy użytkownikami i właśnie w implementacji tej usługi znalazło się coś, co naszym zdaniem jest sporym niedopatrzeniem z punktu widzenia ochrony prywatności użytkowników.

Do wykonywania tzw. przelewu “z telefonu na telefon” wystarczy podać tylko numer telefonu odbiorcy. Niestety, przed podaniem PIN-u, który ma autoryzować przelew, na ekranie podsumowania aplikacja wyświetli nie tylko numer odbiorcy ale także jego imię i nazwisko (albo to co użytkownik ustawił sobie jako swoje dane).

Pana Mariusza nie znamy, ale “strzeliliśmy” jego numer i okazało się, że używa SkyCasha, więc mamy teraz jego dane. Jeśli na podstawie samego numeru telefonu można ustalić nazwisko i fakt korzystania z danej usługi, może się to przydać do przygotowania ataku socjotechnicznego na osobę lub firmę. O doxowaniu nie wspominając ;) Prawdopodobnie wyświetlenie tych danych miało na celu przeciwdziałać przelewom do niewłaściwych osób, ale jak widać, taki “feature” można wykorzystać też do deanonimizacji.

Nie w każdym przypadku system pokaże nazwisko. Niektórzy użytkownicy wpisali sobie pseudonimy i te wyświetlają się w czasie robienia przelewu. W ustawieniach konta w polu “IMIĘ I NAZWISKO” możemy wpisać w zasadzie cokolwiek.

UWAGA: Podawanie fałszywych danych w aplikacji SkyCash jest naruszeniem regulaminu i może się wiązać nawet z zablokowaniem środków.

Jeśli ktoś chciałby korzystać ze wszystkich funkcji SkyCash, trzeba potwierdzić autentyczność danych przelewem bankowym i wtedy “fałszywe” dane osobowe mogą nie przejść. Dlatego, naszym zdaniem, SkyCash powinien zmienić swoją aplikację w taki sposób, aby więcej nie wyświetlać nazwisk przed autoryzowaniem przelewu.

12 lutego zwróciliśmy się do SkyCash z pytaniami odnośnie tego problemu. Do dnia dzisiejszego nie dostaliśmy odpowiedzi, a sposób działania aplikacji nie został zmieniony.


Aktualizacja 22.02.2018, 15:15
SkyCash odnalazł w “spamie” dwie nasze wiadomości i deklaruje, że już poprawia swoją aplikację. Okazało się, że nasze pytania zostały wcześniej przeoczone z powodu bardzo niefortunnego zbiegu okoliczności. Wcześniej nasze kontakty ze SkyCash przebiegały bez zarzutu i firma nie tylko reagowała na nasze uwagi, ale też była gotowa udzielać nam dokładniejszych wyjaśnień na tematy związane z płatnościami.

Z rozmowy z przedstawicielami firmy dowiedzieliśmy, się że SkyCash musi informować o tym do kogo wysyłacie pieniądze. Błędem było tylko informowanie o odbiorcy przed podaniem PIN-u, natomiast musicie się liczyć z tym, że pewne dane o transakcji (i odbiorcy) będą widoczne w historii. Po wprowadzeniu poprawki do SkyCash dane odbiorcy nie będą widoczne przed wprowadzeniem PIN-u. Dopiero po udanej transakcji użytkownik będzie mógł się dowiedzieć do kogo pieniądze trafiły. Jeśli ta osoba nie będzie użytkownikiem SkyCash, dostanie SMS-a o możliwości odebrania pieniędzy. Dopiero gdy ta osoba się zarejestruje, będzie mogła odebrać pieniądze. W przeciwnym razie pieniądze wrócą do nadawcy.

To oznacza, że nawet po poprawce, jeśli jesteście użytkownikiem tej aplikacji, ktoś będzie mógł poznać Wasze nazwisko. Tylko teraz za to zapłaci, np. 0,50 groszy (lub mniej — wszystko zależy od tego, ile będzie chciał Wam przesłać).

Mam aplikację SkyCash/MobiParking — co robić? Jak żyć?

Aby chronić swoją prywatność macie 2 opcje:

  • 1. Możecie podmienić swoje dane na fałszywe (formularz w wersji webowej aplikacji pozwala je zmieniać), ale musicie się liczyć z tym, że regulamin SkyCash wymaga podawania prawdziwych danych a naruszenie regulaminu może się wiązać z zaprzestaniem świadczenia usługi albo blokadą środków.
  • 2. Możecie przestać korzystać z aplikacji, tzn. skasować konto. Nie piszemy tego aby zniechęcać was do tego produktu. Po prostu sami musicie rozważyć co robić gdy już wiecie, że to tak działa.

Pamiętaj, że użycie SkyCash to nie jedyny sposób na pozyskanie nazwisk, jakie kryją się za numerami telefonów komórkowych. Tego typu informacje można też uzyskać poprzez wyszukiwarkę Facebooka, czy brokerów danych takich jak Ci, z których w ostatnim odcinku naszego cyklu opowiadań o hakerze Januszu korzystał sierżant Grahamka. Sporo danych na temat Polaków znajduje się także w serwisie LocateFamily, a najwięcej danych jak zwykle można wyciągnąć z mediów społecznościowych — polecamy wywiad, którego Piotrek udzielił magazynowi SocialPress.

Jeśli chciałbyś dowidzieć się jak chronić się przed deanonimizacją i innymi atakami (nie tylko na Twoją prywatność) oraz jak zabezpieczyć przed cyberprzestępcami swój komputer, smartfon a także konta internetowe i bankowe, to zapraszamy na nasz otwarty 3h wykład pt. “Jak nie dać się zhackować?” który odbędzie się w:

Zapisy już ruszyły i liczba wejściówek jest ograniczona, więc zalecamy pośpiech. Więcej o tematyce wykładu poczytasz tutaj, a wejściówki można zdobyć tu. Warto — poczytajcie opinie uczestników poprzednich edycji tego wykładu.

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. Słabo, bo teraz/już się nie wyświetla

    • Dalej działa. Kliknij w przelej (to jest widoczne na drugim ekranie, bez obaw, kasy nie przeleje – jeszcze poprosi o pin).

    • Interesujące, ciekawe czy moje konto skasowano?? gdyż zgodnie ich regulaminem trzeba napisać maila bo takowej opcji na stronie rok temu nie było :((

  2. Racja

  3. Hmm – mój SkyCash nie “rozwija” numerów (takich gdzie wiem, że dane są)

  4. Coś podobnego miał a być może dalej ma Bank Zachodni WBK. Jak się robiło przelew wewnętrzny tzn. między kontami w tym banku to w historii pojawiało się imię i nazwisko lub nazwa firmy właściciela tego konta (bez adresu) a niekoniecznie nazwa odbiorcy, jaką się wpisało do formularza. Rożnica między SkyCash taka, że przelew trzeba było zrealizować (musiał się znaleźć w historii) a poza tym nie był to numer telefonu tylko NRB.

  5. Identyczny temat wałkowano niedawno w Australii…
    https://www.theregister.co.uk/2018/02/19/payid_accidental_reverse_telephone_number_lookup/

  6. Potwierdzam

  7. Skoro do tej pory nie pojawiła się odpowiedź z ich strony, może trzeba masowo wysłać reklamację do Biura Obsługi Klienta z żądaniem zaprzestania nieuprawnionej prezentacji danych osobowych. Ja już wysłałem ;)

  8. W webowej wersji nie widać tego problemu, ale w kliencie Androidowym – rzeczywiście tak to działa.

    Pewnie Źli Ludzie mogą teraz przejechać po wszystkich numerach telefonicznych w polskiej numeracji i zebrać imiona i nazwiska.

  9. Potwierdzam, wciąż działa.

  10. I pomyśleć, że kiedyś była taka ogólnodostępna, analogowa baza danych numerów telefonów i imion i nazwisk ich właścicieli. Jak to się nazywało? Książka telefoniczna? Shocking!

    • Trochę inaczej (w sensie wydajności) szuka się szuka w papierze, a trochę inaczej elektronicznie.

    • Za dawnych czasów kiedy głównie obowiązywały ksiązki drukowane, można było wejść w posiadanie pliku z nazwiskami i numerami telefonów w formacie jak ksiązka telefoniczna. Róznica była taka, że można było to grepnąć i zrobić reverse lookup :)

    • @grocal
      Takim jesteś “luzakiem”, a nie przedstawiasz się imieniem i nazwiskiem. Co masz do ukrycia?

  11. A czy na pewno nie działa to tylko na zasadzie czytania danych z kontaktów? Nie zezwoliłem aplikacji na czytanie moich kontaktów i przy wpisaniu numeru żony (która ma dane wprowadzone w aplikacji) nie widzę Jej imienia i nazwiska.

    • Zrób przelew, to zobaczysz pełne dane.

      Właśnie przelałem środki w celu wyzerowania konta przed jego likwidacją. W potwierdzeniu przelewu (przed jego dokonaniem) pojawiły się pełne dane odbiorcy, choć w książce telefonicznej mam wpisane tylko imię.

  12. Mam konto w Skycash. Zmieniłem adres e-mail (bo Plusnet likwiduje skrzynki). Nie mogę uaktualnić adresu e-mail w Skycash, bo podczas aktualizacji przez WWW formularz wymaga podania adresu zamieszkania (choć ich regulamin tego nie wymaga). Chyba czas pożegnać się z tą firmą.

  13. @Arek
    Ja wpisalem fikcyjny adres, typu ul. Ulica, 00-000 Miasto i przeszlo ;-p

    • potwierdzam, przechodzi

  14. Przelew 1000zl

  15. Tak samo dziala w pejpalu. Czesto kupuje gry na bazarze lowcow gier tam czesto podaja mejla do platnosci paypalem, to sie potem okazuje ze taki ‘DjKiller’ to zwykly pawelek co wyszedl z pieskiem.

    • Numery telefonu są bardziej bruteforcowalne niż adresy e-mail tzn. możesz łatwo (nie sięgając do zewnętrznej bazy danych) wygenerować ciąg kolejnych numerów i odpytać w aplikacji.

    • I to akurat jak dzwonili z miesięcznika Gang

      #pdk

  16. W sumie nic nowego, połowę moich znajomych mogę znaleźć na sync.me.

Odpowiadasz na komentarz Zeratul

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.