11:43
10/8/2018

Przenosimy się do internetu. Wirtualizujemy życie. Bo tak wygodniej. Niektórzy nawet tradycyjną pocztę odbierają przez internet. Ktoś ją wcześniej digitalizuje. Czy to dobry pomysł? Z “wirtualizacji” swojej obecności w miejscu i czasie często korzystają młode firmy. Te, które korzystały z wirtualnych biur mogły za to zapłacić wysoką cenę. System do obsługi wirtualnych biur – Desktomy – z którego korzysta kilku dostawców wirtualnych biur/recepcji miał lukę pozwalającą dowolnej zalogowanej osobie przeglądać korespondencję innych firm i osób.

Problem #1 – możliwość zgadnięcia hasła

Desktomy to system zarządzania wirtualnym biurem, który jest adresowany do firm świadczących usługi wirtualnych biur. Służy on m.in. do kontaktu z klientami, obsługi korespondencji, faktur i obsługi rezerwacji sal konferencyjnych. System umożliwia również zarządzanie korespondencją przychodzącą klientów, co jest ważne z punktu widzenia tego tekstu.

Pewien nasz Czytelnik korzystał z Desktomy w ramach usług firmy City Office, która oferuje wirtualne biura w Warszawie. Zauważył on dwa problemy. Po pierwsze firmom korzystającym z wirtualnego biura przyznawano w systemie Desktomy przewidywalny login i hasło. Loginem był e-mail firmy w City Office, a hasłem “skrócona-nazwa-firmy123”.

Większość firm powinna to domyślne hasło zmienić, ale niektórzy mogli to zaniedbać. Ustalenie firm korzystających z usług City Office nie stanowiło problemu — wystarczy wyszukać firmy po adresie w KRS/CEIDG i następnie próbować logowań przewidzianymi (bo “do wzorca” generowanymi) danymi.

Ten problem to przede wszystkim złe zarządzanie — ale bardziej świadomy klient mógł się przed tym brakiem wyobraźni administratora zabezpieczyć. Bo oczywiście hasło w systemie można było zmienić.

Generalnie zawsze warto zmieniać wszystkie domyślne hasła. Nigdy nie wiecie, czy ktoś nie generuje ich w przewidywalny sposób. Hej, klienci UPC korzystający z sieci Wi-Fi na domyślnym haśle, machamy do Was! A jak w dodatku korzystacie z poczty UPC (mamy nadzieję, że nie) to też powinniście zareagować.

Problemowi przewidywalnych haseł i tego do czego może on doprowadzić poświeciliśmy pierwszy odcinek przygód hakera Janusza. Jeśli ktoś nie czytał serii z Januszem w roli głównej, to powinien to szybko nadrobić — tu wszystkie artykuły.

Problem #2 – Dostęp do korespondencji

Osoba zalogowana w systemie Desktomy mogła przeglądać korespondencję innych firm. W tym celu należało wejść w listę korespondencji i następnie manipulować adresem w przeglądarce, który miał format:

https://city-office.desktomy.pl/lists/file/XXXX

Zamiast XXXX należało podstawić cyfry. Nasz Czytelnik ocenił, że dawało to dostęp do ponad 14 tys. plików z korespondencją firm korzystających z usług City Office. Podkreślamy, że wykorzystanie luki wymagało zalogowania do systemu, ale nawet nie wykupując usługi wirtualnego biura, jeśli wiedziało się o problemie #1, można było próbować logowania na dane firmy, która nie zmieniła swojego domyślnego, startowego hasła.

Nasz Czytelnik sprawdził występowanie luki u innego dostawcy usług wirtualnego biura i błąd także występował. Doszedł do wniosku, że problem występuje generalnie w systemie Desktomy. Miał rację.

Poniżej przykłady dwóch z 14. tys. plików, z jakimi można było się zapoznać. Jeden z nich jest nakazem zapłaty. Drugi – oświadczeniem o wzięciu pożyczki na czyjeś dane.

 

Wartość tych danych jest olbrzymia. Szczególnie dla konkurencji. Nie mowiąc już o złodziejach danych, którzy nomen-omen, mogliby wykorzystać powyższe informacje do generowania fałszywych pożyczek (por. Jak uniemożliwić wzięcie pożyczki na moje dane?).

Szybka reakcja i naprawa

O sprawie powiadomiliśmy równolegle City-Office i MBT Media (producenta Desktomy). Nie mieliśmy 100% pewności czy luka istnieje w całym systemie czy tylko w niektórych firmach (np. w zależności od konfiguracji). Podkreślamy, że obie firmy zareagowały w ciągu kilkudziesięciu minut i przystąpiono do natychmiastowego usuwania luki.

Prezes firmy MBT Media Tomasz Kacała przyznał, że luka dotyczyła wszystkich Klientów korzystających z aplikacji w trybie abonamentowym. To zła wiadomość, ale z drugiej strony latka wdrożona po stronie MBT Media ma natychmiast zastosowanie do wszystkich klientów.

Luka istniała najprawdopodobniej od ostatniej aktualizacji, która miała miejsce w maju. Logi nie wykazały żadnej niestandardowej aktywności. – dodał Tomasz Kacała.

Firma City Office wystąpiła w całej sprawie jako podmiot korzystający z Desktomy, więc tak jakby “dostała rykoszetem”. Problem dotyczył również innych firm oferujących wirtualne biura, jeśli tylko korzystały z usługi Desktomy. City Office miała tego pecha, że akurat jeden z jej użytkowników zorientował się w sytuacji. Podkreślamy jednak, że City Office szybko odpowiedziała na nasze zgłoszenie i zaangażowała się w proces zgłaszania problemu producentowi. Dziękujemy.

Wracając do domyślnych haseł…

Pozostaje jeszcze wyjaśnić kwestię domyślnych haseł do systemu Desktomy w City Office. Były one łatwe do zgadnięcia, ale nie mieliśmy pewności czy zależało to od MBT Media czy od City Office. Grzegorz Kurnik z City Office wyjaśnił nam, że hasła generowane przy zakładaniu kont użytkownika były z zasady ciągiem liter i cyfr i

“niekiedy zdarzało się, że hasła były generowane na podstawie jakiegoś skrótu związane z firmą i kilkoma cyframi 123”

Miało się to jednak zdarzać sporadycznie.

Przedstawiciel City Office zadeklarował, że praktyki w tym zakresie zostaną “utwardzone”. Użytkownicy mają być w przyszłości informowani o konieczności zmiany haseł i dodatkowo ma być wysłana wiadomość do wszystkich  użytkowników z informacją o konieczności zmiany hasła w systemie na własne i bardziej złożone.

Korzystam z wirtualnego biura. Co robić? Jak żyć?

Uczestnikom naszych wykładów i szkoleń z cyberbezpieczeństwa dla firm często dajemy mało optymistyczną poradę:

Załóż, że Twoje dane już wyciekły.

Przejrzyjcie swoją korespondencję i sprawdźcie co możecie w niej znaleźć. Przykładowe słowa do wyszukiwania to: umowa, testament, skan, akt notarialny, wezwanie do zapłaty, PESEL, PIT, paszport, skan). Spróbujcie zaatakować siebie i najbliższych. A jak Wam się uda, to rozważcie podjęcie kroków zaradczych np. w postaci zastrzeżenia dokumentów. Prywatną skrzynkę e-mail warto mocno zabezpieczyć. To wasze “cyfrowe serce” i paszport do wszystkich usług. Jeśli ktoś przejmie nad nią kontrolę, z reguły bez problemu “zresetuje” sobie przy jej pomocy hasła do innych usług, gdzie podaliście swój adres e-mail podczas rejestracji.

Przeczytaj także:

3 komentarzy

Dodaj komentarz
  1. FRAJERZY – wirtualne biura to taki sam wałek jak coworking – raj dla złodziei
    tylko idiota z tego korzysta

  2. Trudno się nie zgodzić z kolegą Mariankiem. Za pozorną oszczędność na prowadzeniu własnego biura łatwo zapłacić swoimi danymi, kontaktami, reputacją…Nawet najmniejsza firma ma coś do stracenia, chociażby szansę na rozwój.

    • To zależy czego oczekujesz od takiego biura. Jeśli potrzebujesz tylko adresu do rejestarcji firmy, kogoś do odbierania paczek i sporadycznie biurka do pracy to tam wszystko znajdziesz. Za takie pieniądze możesz też wynająć garaż i tam zapraszać swoich partnerów biznesowych. Listonosz będzie wtykał listy w szparę a po polecone będziesz stał wieczorami w kolejce. No i nie poderwiesz nikogo na pracę w #garażrodziców

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.