10/8/2018
Przenosimy się do internetu. Wirtualizujemy życie. Bo tak wygodniej. Niektórzy nawet tradycyjną pocztę odbierają przez internet. Ktoś ją wcześniej digitalizuje. Czy to dobry pomysł? Z “wirtualizacji” swojej obecności w miejscu i czasie często korzystają młode firmy. Te, które korzystały z wirtualnych biur mogły za to zapłacić wysoką cenę. System do obsługi wirtualnych biur – Desktomy – z którego korzysta kilku dostawców wirtualnych biur/recepcji miał lukę pozwalającą dowolnej zalogowanej osobie przeglądać korespondencję innych firm i osób.
Problem #1 – możliwość zgadnięcia hasła
Desktomy to system zarządzania wirtualnym biurem, który jest adresowany do firm świadczących usługi wirtualnych biur. Służy on m.in. do kontaktu z klientami, obsługi korespondencji, faktur i obsługi rezerwacji sal konferencyjnych. System umożliwia również zarządzanie korespondencją przychodzącą klientów, co jest ważne z punktu widzenia tego tekstu.
Pewien nasz Czytelnik korzystał z Desktomy w ramach usług firmy City Office, która oferuje wirtualne biura w Warszawie. Zauważył on dwa problemy. Po pierwsze firmom korzystającym z wirtualnego biura przyznawano w systemie Desktomy przewidywalny login i hasło. Loginem był e-mail firmy w City Office, a hasłem “skrócona-nazwa-firmy123”.
Większość firm powinna to domyślne hasło zmienić, ale niektórzy mogli to zaniedbać. Ustalenie firm korzystających z usług City Office nie stanowiło problemu — wystarczy wyszukać firmy po adresie w KRS/CEIDG i następnie próbować logowań przewidzianymi (bo “do wzorca” generowanymi) danymi.
Ten problem to przede wszystkim złe zarządzanie — ale bardziej świadomy klient mógł się przed tym brakiem wyobraźni administratora zabezpieczyć. Bo oczywiście hasło w systemie można było zmienić.
Generalnie zawsze warto zmieniać wszystkie domyślne hasła. Nigdy nie wiecie, czy ktoś nie generuje ich w przewidywalny sposób. Hej, klienci UPC korzystający z sieci Wi-Fi na domyślnym haśle, machamy do Was! A jak w dodatku korzystacie z poczty UPC (mamy nadzieję, że nie) to też powinniście zareagować.
Problem #2 – Dostęp do korespondencji
Osoba zalogowana w systemie Desktomy mogła przeglądać korespondencję innych firm. W tym celu należało wejść w listę korespondencji i następnie manipulować adresem w przeglądarce, który miał format:
https://city-office.desktomy.pl/lists/file/XXXX
Zamiast XXXX należało podstawić cyfry. Nasz Czytelnik ocenił, że dawało to dostęp do ponad 14 tys. plików z korespondencją firm korzystających z usług City Office. Podkreślamy, że wykorzystanie luki wymagało zalogowania do systemu, ale nawet nie wykupując usługi wirtualnego biura, jeśli wiedziało się o problemie #1, można było próbować logowania na dane firmy, która nie zmieniła swojego domyślnego, startowego hasła.
Nasz Czytelnik sprawdził występowanie luki u innego dostawcy usług wirtualnego biura i błąd także występował. Doszedł do wniosku, że problem występuje generalnie w systemie Desktomy. Miał rację.
Poniżej przykłady dwóch z 14. tys. plików, z jakimi można było się zapoznać. Jeden z nich jest nakazem zapłaty. Drugi – oświadczeniem o wzięciu pożyczki na czyjeś dane.
Wartość tych danych jest olbrzymia. Szczególnie dla konkurencji. Nie mowiąc już o złodziejach danych, którzy nomen-omen, mogliby wykorzystać powyższe informacje do generowania fałszywych pożyczek (por. Jak uniemożliwić wzięcie pożyczki na moje dane?).
Szybka reakcja i naprawa
O sprawie powiadomiliśmy równolegle City-Office i MBT Media (producenta Desktomy). Nie mieliśmy 100% pewności czy luka istnieje w całym systemie czy tylko w niektórych firmach (np. w zależności od konfiguracji). Podkreślamy, że obie firmy zareagowały w ciągu kilkudziesięciu minut i przystąpiono do natychmiastowego usuwania luki.
Prezes firmy MBT Media Tomasz Kacała przyznał, że luka dotyczyła wszystkich Klientów korzystających z aplikacji w trybie abonamentowym. To zła wiadomość, ale z drugiej strony latka wdrożona po stronie MBT Media ma natychmiast zastosowanie do wszystkich klientów.
– Luka istniała najprawdopodobniej od ostatniej aktualizacji, która miała miejsce w maju. Logi nie wykazały żadnej niestandardowej aktywności. – dodał Tomasz Kacała.
Firma City Office wystąpiła w całej sprawie jako podmiot korzystający z Desktomy, więc tak jakby “dostała rykoszetem”. Problem dotyczył również innych firm oferujących wirtualne biura, jeśli tylko korzystały z usługi Desktomy. City Office miała tego pecha, że akurat jeden z jej użytkowników zorientował się w sytuacji. Podkreślamy jednak, że City Office szybko odpowiedziała na nasze zgłoszenie i zaangażowała się w proces zgłaszania problemu producentowi. Dziękujemy.
Wracając do domyślnych haseł…
Pozostaje jeszcze wyjaśnić kwestię domyślnych haseł do systemu Desktomy w City Office. Były one łatwe do zgadnięcia, ale nie mieliśmy pewności czy zależało to od MBT Media czy od City Office. Grzegorz Kurnik z City Office wyjaśnił nam, że hasła generowane przy zakładaniu kont użytkownika były z zasady ciągiem liter i cyfr i
“niekiedy zdarzało się, że hasła były generowane na podstawie jakiegoś skrótu związane z firmą i kilkoma cyframi 123”
Miało się to jednak zdarzać sporadycznie.
Przedstawiciel City Office zadeklarował, że praktyki w tym zakresie zostaną “utwardzone”. Użytkownicy mają być w przyszłości informowani o konieczności zmiany haseł i dodatkowo ma być wysłana wiadomość do wszystkich użytkowników z informacją o konieczności zmiany hasła w systemie na własne i bardziej złożone.
Korzystam z wirtualnego biura. Co robić? Jak żyć?
Uczestnikom naszych wykładów i szkoleń z cyberbezpieczeństwa dla firm często dajemy mało optymistyczną poradę:
Załóż, że Twoje dane już wyciekły.
Przejrzyjcie swoją korespondencję i sprawdźcie co możecie w niej znaleźć. Przykładowe słowa do wyszukiwania to: umowa, testament, skan, akt notarialny, wezwanie do zapłaty, PESEL, PIT, paszport, skan). Spróbujcie zaatakować siebie i najbliższych. A jak Wam się uda, to rozważcie podjęcie kroków zaradczych np. w postaci zastrzeżenia dokumentów. Prywatną skrzynkę e-mail warto mocno zabezpieczyć. To wasze “cyfrowe serce” i paszport do wszystkich usług. Jeśli ktoś przejmie nad nią kontrolę, z reguły bez problemu “zresetuje” sobie przy jej pomocy hasła do innych usług, gdzie podaliście swój adres e-mail podczas rejestracji.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
FRAJERZY – wirtualne biura to taki sam wałek jak coworking – raj dla złodziei
tylko idiota z tego korzysta
Trudno się nie zgodzić z kolegą Mariankiem. Za pozorną oszczędność na prowadzeniu własnego biura łatwo zapłacić swoimi danymi, kontaktami, reputacją…Nawet najmniejsza firma ma coś do stracenia, chociażby szansę na rozwój.
To zależy czego oczekujesz od takiego biura. Jeśli potrzebujesz tylko adresu do rejestarcji firmy, kogoś do odbierania paczek i sporadycznie biurka do pracy to tam wszystko znajdziesz. Za takie pieniądze możesz też wynająć garaż i tam zapraszać swoich partnerów biznesowych. Listonosz będzie wtykał listy w szparę a po polecone będziesz stał wieczorami w kolejce. No i nie poderwiesz nikogo na pracę w #garażrodziców