11:43
10/8/2018

Przenosimy się do internetu. Wirtualizujemy życie. Bo tak wygodniej. Niektórzy nawet tradycyjną pocztę odbierają przez internet. Ktoś ją wcześniej digitalizuje. Czy to dobry pomysł? Z “wirtualizacji” swojej obecności w miejscu i czasie często korzystają młode firmy. Te, które korzystały z wirtualnych biur mogły za to zapłacić wysoką cenę. System do obsługi wirtualnych biur – Desktomy – z którego korzysta kilku dostawców wirtualnych biur/recepcji miał lukę pozwalającą dowolnej zalogowanej osobie przeglądać korespondencję innych firm i osób.

Problem #1 – możliwość zgadnięcia hasła

Desktomy to system zarządzania wirtualnym biurem, który jest adresowany do firm świadczących usługi wirtualnych biur. Służy on m.in. do kontaktu z klientami, obsługi korespondencji, faktur i obsługi rezerwacji sal konferencyjnych. System umożliwia również zarządzanie korespondencją przychodzącą klientów, co jest ważne z punktu widzenia tego tekstu.

Pewien nasz Czytelnik korzystał z Desktomy w ramach usług firmy City Office, która oferuje wirtualne biura w Warszawie. Zauważył on dwa problemy. Po pierwsze firmom korzystającym z wirtualnego biura przyznawano w systemie Desktomy przewidywalny login i hasło. Loginem był e-mail firmy w City Office, a hasłem “skrócona-nazwa-firmy123”.

Większość firm powinna to domyślne hasło zmienić, ale niektórzy mogli to zaniedbać. Ustalenie firm korzystających z usług City Office nie stanowiło problemu — wystarczy wyszukać firmy po adresie w KRS/CEIDG i następnie próbować logowań przewidzianymi (bo “do wzorca” generowanymi) danymi.

Ten problem to przede wszystkim złe zarządzanie — ale bardziej świadomy klient mógł się przed tym brakiem wyobraźni administratora zabezpieczyć. Bo oczywiście hasło w systemie można było zmienić.

Generalnie zawsze warto zmieniać wszystkie domyślne hasła. Nigdy nie wiecie, czy ktoś nie generuje ich w przewidywalny sposób. Hej, klienci UPC korzystający z sieci Wi-Fi na domyślnym haśle, machamy do Was! A jak w dodatku korzystacie z poczty UPC (mamy nadzieję, że nie) to też powinniście zareagować.

Problemowi przewidywalnych haseł i tego do czego może on doprowadzić poświeciliśmy pierwszy odcinek przygód hakera Janusza. Jeśli ktoś nie czytał serii z Januszem w roli głównej, to powinien to szybko nadrobić — tu wszystkie artykuły.

Problem #2 – Dostęp do korespondencji

Osoba zalogowana w systemie Desktomy mogła przeglądać korespondencję innych firm. W tym celu należało wejść w listę korespondencji i następnie manipulować adresem w przeglądarce, który miał format:

https://city-office.desktomy.pl/lists/file/XXXX

Zamiast XXXX należało podstawić cyfry. Nasz Czytelnik ocenił, że dawało to dostęp do ponad 14 tys. plików z korespondencją firm korzystających z usług City Office. Podkreślamy, że wykorzystanie luki wymagało zalogowania do systemu, ale nawet nie wykupując usługi wirtualnego biura, jeśli wiedziało się o problemie #1, można było próbować logowania na dane firmy, która nie zmieniła swojego domyślnego, startowego hasła.

Nasz Czytelnik sprawdził występowanie luki u innego dostawcy usług wirtualnego biura i błąd także występował. Doszedł do wniosku, że problem występuje generalnie w systemie Desktomy. Miał rację.

Poniżej przykłady dwóch z 14. tys. plików, z jakimi można było się zapoznać. Jeden z nich jest nakazem zapłaty. Drugi – oświadczeniem o wzięciu pożyczki na czyjeś dane.

 

Wartość tych danych jest olbrzymia. Szczególnie dla konkurencji. Nie mowiąc już o złodziejach danych, którzy nomen-omen, mogliby wykorzystać powyższe informacje do generowania fałszywych pożyczek (por. Jak uniemożliwić wzięcie pożyczki na moje dane?).

Szybka reakcja i naprawa

O sprawie powiadomiliśmy równolegle City-Office i MBT Media (producenta Desktomy). Nie mieliśmy 100% pewności czy luka istnieje w całym systemie czy tylko w niektórych firmach (np. w zależności od konfiguracji). Podkreślamy, że obie firmy zareagowały w ciągu kilkudziesięciu minut i przystąpiono do natychmiastowego usuwania luki.

Prezes firmy MBT Media Tomasz Kacała przyznał, że luka dotyczyła wszystkich Klientów korzystających z aplikacji w trybie abonamentowym. To zła wiadomość, ale z drugiej strony latka wdrożona po stronie MBT Media ma natychmiast zastosowanie do wszystkich klientów.

Luka istniała najprawdopodobniej od ostatniej aktualizacji, która miała miejsce w maju. Logi nie wykazały żadnej niestandardowej aktywności. – dodał Tomasz Kacała.

Firma City Office wystąpiła w całej sprawie jako podmiot korzystający z Desktomy, więc tak jakby “dostała rykoszetem”. Problem dotyczył również innych firm oferujących wirtualne biura, jeśli tylko korzystały z usługi Desktomy. City Office miała tego pecha, że akurat jeden z jej użytkowników zorientował się w sytuacji. Podkreślamy jednak, że City Office szybko odpowiedziała na nasze zgłoszenie i zaangażowała się w proces zgłaszania problemu producentowi. Dziękujemy.

Wracając do domyślnych haseł…

Pozostaje jeszcze wyjaśnić kwestię domyślnych haseł do systemu Desktomy w City Office. Były one łatwe do zgadnięcia, ale nie mieliśmy pewności czy zależało to od MBT Media czy od City Office. Grzegorz Kurnik z City Office wyjaśnił nam, że hasła generowane przy zakładaniu kont użytkownika były z zasady ciągiem liter i cyfr i

“niekiedy zdarzało się, że hasła były generowane na podstawie jakiegoś skrótu związane z firmą i kilkoma cyframi 123”

Miało się to jednak zdarzać sporadycznie.

Przedstawiciel City Office zadeklarował, że praktyki w tym zakresie zostaną “utwardzone”. Użytkownicy mają być w przyszłości informowani o konieczności zmiany haseł i dodatkowo ma być wysłana wiadomość do wszystkich  użytkowników z informacją o konieczności zmiany hasła w systemie na własne i bardziej złożone.

Korzystam z wirtualnego biura. Co robić? Jak żyć?

Uczestnikom naszych wykładów i szkoleń z cyberbezpieczeństwa dla firm często dajemy mało optymistyczną poradę:

Załóż, że Twoje dane już wyciekły.

Przejrzyjcie swoją korespondencję i sprawdźcie co możecie w niej znaleźć. Przykładowe słowa do wyszukiwania to: umowa, testament, skan, akt notarialny, wezwanie do zapłaty, PESEL, PIT, paszport, skan). Spróbujcie zaatakować siebie i najbliższych. A jak Wam się uda, to rozważcie podjęcie kroków zaradczych np. w postaci zastrzeżenia dokumentów. Prywatną skrzynkę e-mail warto mocno zabezpieczyć. To wasze “cyfrowe serce” i paszport do wszystkich usług. Jeśli ktoś przejmie nad nią kontrolę, z reguły bez problemu “zresetuje” sobie przy jej pomocy hasła do innych usług, gdzie podaliście swój adres e-mail podczas rejestracji.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

3 komentarzy

Dodaj komentarz
  1. FRAJERZY – wirtualne biura to taki sam wałek jak coworking – raj dla złodziei
    tylko idiota z tego korzysta

  2. Trudno się nie zgodzić z kolegą Mariankiem. Za pozorną oszczędność na prowadzeniu własnego biura łatwo zapłacić swoimi danymi, kontaktami, reputacją…Nawet najmniejsza firma ma coś do stracenia, chociażby szansę na rozwój.

    • To zależy czego oczekujesz od takiego biura. Jeśli potrzebujesz tylko adresu do rejestarcji firmy, kogoś do odbierania paczek i sporadycznie biurka do pracy to tam wszystko znajdziesz. Za takie pieniądze możesz też wynająć garaż i tam zapraszać swoich partnerów biznesowych. Listonosz będzie wtykał listy w szparę a po polecone będziesz stał wieczorami w kolejce. No i nie poderwiesz nikogo na pracę w #garażrodziców

Odpowiadasz na komentarz Kaleron

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: