19:05
22/9/2021

Ledwie miesiąc temu informowaliśmy, że “najebany wódeczką” jegomość natknął się na niezabezpieczony serwer z 2 milionami nagrań rozmów klientów Taurona z konsultantami (to jest kapitalna historia, serio, przeczytajcie ją). A teraz, jak donoszą nam Czytelnicy, po zalogowaniu się na swoje konto w Tauronie, widzieli dane innych klientów, w tym ich częściowe PESEL-e. Problem dotyczył bardzo wielu osób…

Pierwszy sygnał o nieprawidłowościach spłynął do nas po godzinie 16:

po zalogowaniu się na stronę TAURONA, serwis loguje na konta innych uzytkowników. Nie na swoje. Jest też wgląd do danych danego uzytkownika, łącznie z jego nr. identyfikacyjnym oraz jego peselem.
(…)
Zalogowało mnie na konto Pani Izabeli. Pozwoliłem sobie zadzwonić do Pani Izabeli, żeby ją poinformować o wycieku danych.Okazało się, Pani Izabela też ma problemy z logowaniem i zalogowała się na konto Pana Grzegorza.

Otrzymaliśmy dziesiątki podobnych zgłoszeń. Wylogowanie się i ponowne zalogowanie pokazywało dane kolejnych klientów. Wygląda na to, że wyciekły dane setek klientów Taurona… ale najprawdopdobniej tylko tych, którzy dziś koło 16.00 logowali się do systemu. O jakie dane chodzi?

  • Imię i Nazwisko
  • Adres zamieszkania (dostawy prądu)
  • E-mail
  • Numer telefonu
  • Ocenzurowany PESEL (rok urodzenia)

Plusem jest to, że aby zebrać dane “wszystkich” klientów, trzeba było się przelogowywać, co zdecydowanie utrudnia atak i odsuwa szansę na to, że zobaczymy gdzieś w sieci dump klientów Taurona. Mimo to, wygląda na to, że Tauron będzie musiał odświeżyć, jeszcze ciepłe po ostatnim incydencie, kontakty z PUODO…


Aktualizacja 23.09.2021, 08:38
Tauron przesłał nam następujące oświadczenie (wczoraj po godz. 20:00):

W wyniku problemów technicznych w serwisie Mój TAURON niektórzy klienci logujący się do serwisu z komputerów mogli mieć dostęp do danych innych klientów. Podkreślamy, że w serwisie Mój TAURON nie posługujemy się numerem PESEL klienta, ani numerem dokumentu tożsamości. W związku z tym ryzyko nieuprawnionego wykorzystania tych danych przez osoby trzecie nie występuje. Natychmiast po zidentyfikowaniu tego problemu wyłączyliśmy serwis Mój TAURON w wersji dostępnej na komputerach. Wkrótce usterka techniczna zostanie usunięta. Podkreślamy, że dane klientów zapisane na serwerach obsługowych TAURONA są bezpieczne.

Co do tego PESEL-u, to chyba niezbyt ściśle firma się wyraziła. PESEL (jak wspomnieliśmy i co widać na screenach) jest, ale na szczęście ocenzurowany — ujawnia w tej formie rok urodzenia i płeć. Co do ostatniego zdania oświadczenia — sugerujemy, aby żadna firma go nie używała. A już na pewno nie w sytuacji, w której komentuje incydent związany z ujawnieniem tych “bezpiecznych danych” innym klientom…

Aktualizacja 23.09.2021, 13:18
Rzeczniczka prasowa Tauronu przesłała nam kolejną informację:

Usterka techniczna została usunięta. Dane Klientów są bezpieczne, na bieżąco monitorujemy sytuację. Każdy z klientów, którego dotyczy ten incydent, otrzyma od nas niebawem informację w tej sprawie.

“Daj na produkcję, wszystko będzie OK”

Niestety, tego typu błędy zdarzają się często. Ofiarą podobnych wpadek w przeszłości były takie firmy jak mBank (klienci widzieli cudze rachunki i mogli wydawać cudze pieniądze), UPC (widzieli cudze dane), T-Mobile (klienci byli logowani na cudze konta i mogli doładowywać telefony na koszt innej osoby), Allegro (logowali się na cudze konta) a także MediaExpert (włączyli niskie zabezpieczenia i wyciekli dane klientów)

Zazwyczaj w takich przypadkach winny jest błąd po stronie modułów cache’ujących. Albo pokazują one wielu osobom tę samą (zcache’owaną) zawartość albo kolejnej osobie pokazują dane “poprzedniej osoby”. Winę zazwyczaj ponosi albo pracownik, który źle skonfigurował dany moduł albo nie przewidział sposobu jego pracy po awarii jednego z modułów zależnych.

Takie błędy — i szereg innych, zdecydowanie bardziej poważniejszych — od strony technicznej analizujemy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji (na które zostały ostatnie wolne miejsca w tym roku — lista terminów tutaj).

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. “Plusem jest to, że aby zebrać dane “wszystkich” klientów, trzeba było się przelogowywać, co zdecydowanie utrudnia atak” – to żadne utrudnienie, prostym robotem można to obejść.

    • robotem tak ale to trzeba się wtedy logować na inne konta, a kredek nie znasz. nie jest powiedziane że za każdym twoim logowaniem załaduje ci innego użytkownika… no bo jak tak jest to wtopa na całego.

    • Jest napisane: “Wylogowanie się i ponowne zalogowanie pokazywało dane kolejnych klientów.”

  2. Wzięli przykład z Edisona i tez się najebali wódeczką – efekty widzimy xD

  3. Hahahaha ha ha ha. Polski dżichad sobie trwa. Ta wiadomość to qrwa miôd na moje uszka. Pozdrawiam Pana Administratora tauroni Wiesława Oleksego z pokoju 404 który domtej pory niczego się nie nauczył. 2:1 XD

    • 404 to bardzo symboliczny numer pokoju.

  4. BTW. Policja nic nie pomoże to jest kara za zatruwanie mojej tablicy ARP w Vectrze. Dziękuję elitarnej grupie wsparcia z Ludowo Demokratycznej Chińskiej Republiki Ludowej

  5. Aktualnie nie da się zalogować (na szczęście), prowadzą chyba pracę, ale sądząc po komunikacie:”Ups… coś poszło nie tak, przepraszamy” przynajmniej się poniekąd przyznają xD

  6. Pan Edison Piła stworzył sobie pana Wiesia Oleksego z Taurona, dorobił historię, nawet założył mu konta na LinkedIn żeby wyglądało legitnie i teraz pewnie czeka na frustratów piszących tamże.

    • Seems legit

  7. Tauron:
    “Podkreślamy, że dane klientów zapisane na serwerach obsługowych TAURONA są bezpieczne.”

    4chan:
    “Potrzymaj mi piwo”
    xD

  8. Żabka bawi się w pocztę by pracować w niedzielę – yeb ustawa, święty dzień bozia będzie zła. Kolejny fakap w tauronie – zero zmian. A ja bym widział rekompensaty finansowe dla każdego klienta, którego dane wyciekły, plus potwierdzanie 2FA/mojlogin.gov umów- tak wiele etapów, by te PESELe były nieprzydatne.

  9. Ale jak to, przecierz edisona juz złapali…
    Nie pomogło?

  10. A jak ktos sie zalogowal i przeczytał, czyli technicznie te informacje zostaly sciagniete w celu wyswietlenia na pulpicie i zachowane w mozgu czytajacego – czy to juz hacking?

  11. “Daj na produkcję, wszystko będzie OK”

    To sa tak zwane sprint’y, bo wielu chciwosc tak juz siadla na mozg ze usiluja maraton przebiec sprintem – jedyny sposob zeby to dzialalo to “zajezdzac pracownikow na smierc” i wymieniac co kilkaset metrow, co znowu tez teoretycznie by dzialalo ale nie w dziedzinie w ktorej od pracownika wymaga sie kompetencji, inteligencji i perspektywicznego myslenia (co jakby nie bylo stoi w lekkiej sprzecznosci z wymaganiem tego zeby byl wystarczajaco glupi zeby sie na taki “arrangement” zgodzic).

    De*lizm do trzeciej potegi, a jak nie to zostaje tylko oszustwo (wymówka) bo co innego…

  12. Nie mowiac juz nawet o tym jak sprint’y zabijaja jakakolwiek “elastycznosc” bo struna naciagnieta do oporu jest praktycznie elastycznosci antytezą…

    • Ciekawe co piszesz. Znasz to z autopsji czy teoretyzujesz na podstawie doniesien prasowych? Czy myslisz, ze jak co sie nazywa “sprint” to znaczy, ze trzeba szybko biec? Ciekawe co powiesz o pojeciu “Agile”.

    • @Juhas
      Odezwal sie, promotor…

      Fanatyzm agile i sprint jest obecnie w fazie wzrostow i wciska sie go na sile wszedzie gdzie sie tylko da w stopniu takim “aż boje sie otworzyć konserwe”, zarzucanie niezgadzajacym sie niekompetencji jest zwyczajnie glupie. Sprint nie nazywa sie sprintem bez powodu, to jest bardzo dobrze dobrana nazwa/analogia, tylko ze prawdziwych sprintow nie laczy sie w lansuszki tylko nastepuje po nim rozprezenie zeby zoptymalizowac koszta, bo czlowiek i zwierze nie moze wymieniac miesni co kilka kilometrow a firma pracownikow juz tak…

    • @Juhas,
      Natomiast jesli idzie o elastycznosc:
      Masz osobe ktora inwestuje (dlugofalowo, z przebiciem x1.2) wszystkie pieniadze ktore ma do dyspozycji jest to jakas strategia optymalizacji, tylko co sie dzieje kiedy nagle pojawia sie okazja z przebiciem x20 albo nagly nie spodziewany koszt? Reakcja na takie zdarzenia to wlasnie elastycznosc (paradoksalnie: agile), tylko ze wszystkie srodki ktore byly dostepne zostaly zaangazowane w obecny sprint, zeby umozliwic powstanie nowej iteracji programu w miesiac raczej niz rok, zwiekszajac stosunek ilosci dodatkowych zadan zwiazanych z samym wydaniem do ilosci i jakosci wprowadzonych zmian…

    • Typowy przyklad glupoty ludzi uwazajacych sie za bardzo inteligentnych, ktory parodiuje ten serial komediowy o naukowcach-nerdach, w waskiej dziedzinie sa w miare kompetentni ale srednia kompetencji zyciowych/spolecznych wypada duzo ponizej normy.
      Agility w agile ogranicza sie tylko i wylacznie do jednej plaszczyzny, calkowicie ignorujac szersza perspektywe swiata ktory go otacza. Jest to nic innego jak kolejna proba wyciagniecia wiecej z ludzi ktorzy sie opier*, co nie dosc ze nie dziala to jeszcze psuje krew ktorzy funkcjonowali efektywnie bez tego.

      Agile to praktycznie proba zjedzenia cegły łyżką…

  13. Z jednej strony “walczycie” z uznaniem PESEL’a za jakąś szczególną daną osobową (bo kilka milionów PESEL’i jest normlanie dostępnych w KRS, Księgach Wieczystych itp.), a tu konstuujecie news’a pod wyciek… 4 cyferek PESEL’a – sami przyczynając się do szczególnego traktowania tej informacji.
    “Wyciekły” przede wszystkim adresy, numery telefonów czy adresy e-mail (a nie 4 cyferki z PESEL’a) !!!

    • W tym newsie kluczową informacją nie jest nic, co związane z PESEL-em.

    • Już drugie zdanie “nagłówka” brzmi: “Czytelnicy, po zalogowaniu się na swoje konto w Tauronie, widzieli dane innych klientów, w tym ich częściowe PESEL-e.”. Czy przy innych ujawnionych danych osobowych, ten “częściowy PESEL” (4 cyfry), napewno zasługiwał na specjalne wskazanie ???

    • Tak.

    • Nawet przyjmując, że uwanili rok urodzenia (w 99,99% zgodny z Peselem, chyba że ktoś wnioskował o ustalenie faktycznej daty urodzdenia, co nastepuje bez zmiany Peselu) – nadal twierdzę, że ujawnienie pozostałych danych (Imię, Nazwisko, Adres, Telefon, E-mail i last but not least: historia faktur i wpłat) – zasługiwało na więcej uwagi niź te (specjalnie wyróżnione) 4 cyfry.

      Na marginesie oczywiście warto było zauważyć – jak nie wykorzystywać do identyfikacji klientów fragmentów PESELa. TAURON oczywiście nie przetwarza PESEL’a, ale przetwarza… rok urodzenia (dwie pierwsze cyfry) i płeć (cyfra przedostatnia). Czy mieści się to w interesie i celu przetwarzania – wątpię. Ale to temat na osobny wpis.

  14. Czym to oni się w lutym chwalili? Ktoś przypomni? ;)

  15. Hej,
    szybkie pytanie: do znajomej zadzwonił gość podając jej wszystkie dane osobowe (m.in. PESEL, nr dowodu, panieńskie matki, adres) szantażując, że jeśli nie zapłaci okupu to sprzeda te dane innym. Znajoma poszła z tym na policję – a tam ją spławili, nie przyjęli zgłoszenia (?!) czy policja ma obowiązek przyjąć zgłoszenie o szantażu (źródło wycieku danych niestety nie znane) czy może tak spławiać obywateli ?
    Mogli chociaż nr telefonu sprawdzić… z góry dzięki za odpowiedź.

Odpowiadasz na komentarz Ech

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: