15:04
4/2/2020

Twitter właśnie ogłosił, że zablokował “dużą sieć kont”, które były wykorzystywane do mapowania numerów telefonów do konkretnych kont i użytkowników Twittera.

Winne to, co zwykle

Błąd pozwalający na ustalenie, do jakiego konta na Twitterze należy dany numer telefonu znalazł jeden z badaczy bezpieczeństwa. Zastosował on znaną od lat funkcję obecną w prawie każdym portalu społecznościowym. Wgraj książkę kontaktów na nasz serwis ze swojego telefonu, a powiemy Ci, którzy z Twoich znajomych są naszymi użytkownikami.

Twitter “pozbył się” tej funkcji, kiedy w internecie zaczęło się mocniej mówić o prywatności, zmieniając ją tak, że w Europie (i tylko w Europie, brawo GDPR!) aby być wyszukanym trzeba było się na to zgodzić w ustawieniach swojego konta (domyślnie opcja ta dla Europejczyków jest wyłączona).

Okazało się jednak, że API do odpytywania kontaktów nie miało odpowiedniego limitowania i ktoś zaczął na nie wrzucać sporo numerów. Probelm co prawda głównie dotyczył nie-Europejczyków, ale nawet oni mogą mieć do Twittera zastrzeżenia, bo API wykorzystywało także numery telefonów, jakie podawali w ramach funkcji dwuetapowego uwierzytelnienia (2FA). Za takie zachowanie, nieźle utarto uszy Facebookowi. Część użytkowników Twittera była więc nieświadoma, że ich numer (podany tylko pod kątem 2FA) jest wykorzystywany do ich wyszukania w serwisie.

Twitter sugeruje “operacje rządowe”

Twitter w swoim ogłoszeniu sugeruje, że za ustalaniem powiązań użytkownik–numer telefonu stał nie tylko jeden z badaczy, który nagłośnił problem, ale również grupy powiązane z rządowymi hackerami.

Twitter prawdopodobnie przyjrzał się wstecznie wykorzystaniu tego API i namierzył anomalie, wiążąc je ze specyfiką działania służb obcych krajów. Chociaż przekonujących dowodów nie ujawnia. W komunikacie znajdziemy tylko informację, że

konta nadużywające tego API korzystały z IP z obszarów Iranu, Izraela i Malezji.

Ale przecież doskonale wiemy, jak łatwo jest korzystać z IP z innego kraju, por. Co wie o Tobie dostawca Twojego internetu?.

Co robić, jak żyć?

Bez bicia przyznajemy, że sami z tej funkcji korzystaliśmy wiele razy i wiele razy o niej opowiadaliśmy podczas szkoleń ocierających się o tematykę prywatności i OSINT-u oraz deanonimizacji internautów. I to jeszcze w czasach, gdy podobne numery można było robić na Gadu-Gadu i Naszej Klasie :)

Radę dla chcących zachować anonimowość/prywatność w internecie mamy jedną.

Wszystkie dane przekazywane przez sieć (serwisom i użytkownikom danych serwisów) traktujcie jako publicznie dostępne. Dla każdego. I na zawsze.

Poza dostosowaniem ustawień prywatności dot. “wyszukiwania przez kontakty” (nie tylko na Twitterze) warto też wyposażyć się w “drugi” numer telefonu (albo nawet w kilka) — i wykorzystywać je podczas rejestracji w różnych serwisach internetowych. Dzięki temu w przypadku ew. wycieków lub błędów w API (jak ten w Twitterze), powiązanie Waszych kont z różnych serwisów nie będzie możliwe.

To nie muszą być zarejestrowane na siebie karty SIM kupione w kiosku ruchu. W internecie nabyć można numer wirtualne, a obsługiwać je da się przez aplikację na smartfonie. Przykładem darmowej usługi tego typu jest Google Voice — chociaż, aby ją założyć z Polski, trzeba się trochę nagimnastykować. Ale (taki) ruch to cyberzdrowie :)

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. A ja mam coś dla Was z Polski:
    Lekarz, do ktorego idziecie po poradę, wpisuje Wasze dane w system i widzi, gdzie pracujecie!!!
    Tą samą funkcjonalnośc mają stanowiska panienek przy okienku, a nawet ochroniarz lub przypadkowy klient może to zobaczyć, jeśli odpowiednio zechce.

    Jest to poważne naruszenie bezpieczeństwa i zasad RODO, gdyż lekarz/recepcja może widziec jedynie czy jesteście ubezpieczeni.
    Dane o zatrudnieniu/firmie nie maja prawa byc widoczne z tego poziomu. Są lekarzowi absolutnie zbedne.

    Kolejna g.wniana implementacja w NFZ.

    • To teraz malutkie “odkrycie” fragmentarycznie na temat: daj mi dowolny numer księgi wieczystej budynku, a zwrócę ci kilkadziesiąt-kilkaset nazwisk z numerami PESEL..

    • Od kiedy to NFZ pozwala zobaczyć jakiekolwiek dane o zatrudnieniu? Może jednak odrobinę pomyśleć, zanim się czymś walnie? Nie mam pojęcia, o czym, wybacz określenie, bredzisz, ale może jakiś konkret? Bo NFZ daje dostęp tylko do EWUŚ, co pozwala jedynie sprawdzić, czy jesteś ubezpieczony czy nie, nic więcej, proste 0/1. Poza tym dostawcami oprogramowania do gabinetów od 2008 są prywatne firmy, NFZ przestał dostarczać soft do rozliczeń 12 lat temu, więc jeśli takie oprogramowanie pozwala sięgać po jakieś dane o zatrudnieniu, NFZ nie ma z tym nic wspólnego.

    • Nie wiem skąd to wziąłeś ale będąc u lekarza doktorka pytała mnie jak wygląda sytuacja z ubezpieczeniem czy pracuje czy nie. Więc odpowiedz brzmi – nie nie widzi gdzie pracujesz. Widzi czy wykupiłeś receptę i gdzie ją wykupiłeś i jakie recepty Ci wypisali. Nic poza tym.

    • Akurat w luxmedzie widzą. Nie raz to odczytują to przy wystawianiu zwolnienia.

    • Lekarz przy wystawianiu zwolnienia widzi conajmniej nazwę firmy na pewno bo nazwa mojej firmy to moje imię i nazwisko i lekarz po zalogowaniu, przy wystawianiu zwolnienia (chyba robił to przez stronkę ZUSu jeśli dobrze pamietam) skomentował to, że to moja forma, a żeby to stwierdzić musiał zobaczyć nazwę formy bo inaczej tego nie mógł wydedukować.

    • Panie janie, lekarz nawet nie widzi, czy i jakie recepty Pan wykupił, chyba że za pomocą portalu pacjenta zostanie to udostępnione jego klinice, lub konkretnie jemu. Można nawet wybrać tam czas od-do jaki może zobaczyć lekarz.

    • @Filip @Jan
      To wy wybaczcie Panowie, ale ja wiem o czym piszę.
      I słyszałem lepsze kwiatki, ale mógłbym komus krzywde zrobić więc zmilknę.

      @Jan
      Masz nierozgarniętą lekarkę, albo coś system nawalał i wolała się upewnić.

      btw
      to NFZ określa specyfikację oprogramowania po stronie swojego styku z bazami ZUS a nie jakis pierdzielony, każdy ZOZ z osobna.
      jeśli więc ZOZ widzi miejsce pracy chorego (a widzi, zapewniam), to winny nie jest ZOZ ani jego dostawca softu.

      Pomyślcie, co bedzie, gdy jakiś baran źle oflaguje bazy i pracodawca z kolei zobaczy pełną bazę kart chorobowych swoich pracowników…
      W tej chwili już to częściowo działa, bo pracownik ZOZu jesli wpisze dane swojego kolegi, to widzi przebieg jego chorob leczonych w innych placówkach – mylę się? Chciałbym.

      @Q
      Wiem, z księgami przerabiałem.

    • Lekarze mają dostęp do danychh o zatrudnieniu podczas klepania zwolnienia lekarskiego. Są tam wszyscy pracodawcy, nawet z krótkich umów zlecenie

    • @Veder

      Teraz akurat odkrywam uroki implementacji portalu zusowskiego i rozmyślam nad jej zgodnością z prawem :D Zdaje się że niektórzy deweloperzy dość średnio “umią w uprawnienia” (chyba że ktoś “nie umie w specyfikację”).

      I zgadzam się w pełni, że skoro to podmiot rozpisujący przetarg specyfikuje i negocjuje z prywatnymi dostawcami oprogramowanie, to tenże podmiot odpowiada za wyegzekwowanie od nich poprawności wdrożenia.

      PS. Jeśli lekarz widziałby tylko przy wystawianiu zwolnienia, to obstawiałbym, że problem jest w api zusu. Z drugiej strony może powinien widzieć – bo w zwolnieniu zdaje się trzeba wpisać “adresata” tzn zakład pracy?

    • Dalej bredzisz. Zwolnienia przez sieć to w całości temat ZUS-owski, NFZ nie ma z tym nic wspólnego, nie ma żadnego “styku” w tym przypadku, więc jednak nie masz pojęcia i istotnie, bredzisz. I teksty w stylu “wiem, ale nie powiem” tylko uwiarygodniają moja tezę.

    • Drogi Niebezpieczniku, czy ktoś z Was mógłby zweryfikować przedstawione rewelacje, bo to faktycznie może być “gruba” wpadka.

    • Firmowa przychodni. Przypominam że są już erecepty. Lekarz się loguje. PESELEM pacjenta i… widzi wszystko, wizyty u innych specj. i inne recepty. Historię chorób. Nie ważne że przyszliśmy z grypą, nie ważne że leczymy sie psychiatrycznie. Szef sie dowiedział i zwolnił.
      A jeszcze pomyłki. – A to nie pani?? Ano tak to inny PESEL.
      Masakra.

    • @Filip

      No czekaj. Coś jednak mają wspólnego. Pacjenta/Ubezpieczonego ;) Bez tego nie byłoby problemów :D

      —-

      Czasem ciężko się połapać, jak właściwie są podzielone zakresy odpowiedzialności pomiędzy NFZ i ZUS. Obstawiałbym, że EWUŚ sprawdza w ZUSie, zwolnienia idą do ZUS, natomiast recepty i skierowania przez NFZ. Poprawcie mnie, jeśli jest inaczej.

      Jeśli byłoby tak jak mi się wydaje, to lekarz czasem musi działać i na danych NFZ i ZUS, (np gdy wystawia i receptę i zwolnienie). Pani w rejestracji powinna widzieć tylko ZUS (co i tak może wystarczyć do sprawdzenia gdzie pracujemy).

      Teraz pytanie do praktyków – czy przychodnie zwykle mają swoje nakładki na te systemy (oprogramowanie uwspólniające interfejs), czy pracują na tym co dostarczają w/w instytucje?

      Bo jeśli problem wynika z nakładki, to trzeba by szukać “dziury” u wykonawcy tejże, ale jeśli po prostu jakiś obowiązujący system, np do weryfikacji prawa do świadczeń zdrowotnych pokazuje zalogowanemu z poziomu recepcji przychodni użytkownikowi nadmiarowe dane, to jednak dziura jest właśnie tam. A np EWUŚ wygląda na “firmowany” przez NFZ (nie wnikam na razie, kto dewelopował, tylko kto przekazuje do użytkowania punktom końcowym).

      Jeśli chodzi o to z kolei, co powinien widzieć lekarz wypisując zwolnienie – myślałem że potrzebne są pełne dane pracodawcy, bo tak daaaawniej bywało, ale jednak niezupełnie – oglądam sobie aktualny wydruk – i z danych firmy na zwolnieniu widzę tylko identyfikator płatnika składek, znaczy w analizowanym przypadku mój NIP. Czyli w sumie lekarz nie musiałby widzieć nazwy firmy, wystawiając zwolnienie (oczywiście połączenie NIP z bazą informacji o przedsiębiorcach to banalna rzecz i w każdym sklepie to mają, więc ewentualna niewidoczność byłaby pozorna). Ale może też wystawiać receptę i sprawdzać na wszelki wypadek, czy NFZ ją zrefunduje, czyli zapewne znów EWUŚ.

      Bardzo mnie zaciekawiliście.

    • Nie, lekarz ma jak najbardziej dostęp do danych o pracodawcy, jeżeli wystawia e-zwolnienie. https://pacjent.gov.pl/e-zwolnienie
      “Wystawianie e-zwolnienia trwa krócej niż wypisanie papierowego zwolnienia, ponieważ lekarz ma dostęp do danych: Twoich, Twojego pracodawcy (czyli płatnika składek) oraz członków Twojej rodziny – jeśli potrzebujesz zwolnienia, by się nimi opiekować. Potrzebny jest tylko Twój numer PESEL, a pozostałe dane osobowe zostaną automatycznie uzupełnione przez system. Twój adres i dane płatnika składek lekarz wybierze z wyświetlonej listy.”

    • Przed erą EZLA aby dostać zwolnienie zawsze musiałeś podawać NIP pracodawcy – i wtedy Cię to nie raziło – ale teraz jak to idzie z automatu to olaboga! Dane pracodawców są przyspawane w systemie ZUSu do Twojego ID. Tyle. To że luxmed czy inny PZU ma te dane wynika tylko i wyłącznie z tego że w ich aplikacjach można wystawić zwolnienie (tj mają integracje z PUE ZUS)

    • NFZ udostępnia świadczeniodawcom różne narzędzia, ale w żadnym z nich nie ma danych o zatrudnieniu pacjenta. NFZ nie gromadzi tych danych i dostęp ma do nich tylko poprzez narzędzia pobierające dane z ZUS, ale te dane też nie są udostępniane dalej. Jak napisano Ci w komentarzu, takie dane masz w e-zwolnieniu, ale to jest system ZUS, nie NFZ, w systemie NFZ (EWUŚ) widać tylko 0/1 w przypadku statusu ubezpieczenia pacjenta, nic więcej. EWUŚ, jak i parę innych systemów (kolejki np.) można obsługiwać poprzez www, można połączyć przez API z aplikacjami używanymi w jednostce służby zdrowia, ale to nie zmienia zakresy dostępnych danych.
      NFZ udostępnia dane pacjentów wyłącznie samym pacjentom w ramach IKP (dawniej ZIP).

    • @Filip

      Z tego co piszesz, jest dość prawdopodobne, że jeśli w danej przychodni w recepcji są widoczne dane o zatrudnieniu szersze niż 0/1, to problem leży w sofcie danej przychodni / sieci, integrującym za dużo danych, np i EWUŚ, i e-zwolnienie, i kolejki. Jeśli mają tego typu kombajn, to zapewne na wszystkich kompach, a stąd do oglądania nadmiarowych danych przez nieuprawnione osoby już tylko krok.

      A jeszcze mnie ciekawi, z czyjego systemu jest pobierany numer oddziału NFZ dla danego pacjenta. Bo to też skądś muszą brać. Póki tak nie było, to mi zawsze zły wpisywali na recepcie, a od jakiegoś czasu już dobry.

  2. Jak korzystać z Google Voice z Polski?

    • Podejrzewam, że trzeba rejestrować się przez VPN

    • Musisz mieć amerykański numer telefonu

  3. > “Wgraj książkę kontaktów na nasz serwis ze swojego telefonu, a powiemy Ci, którzy z Twoich znajomych są naszymi użytkownikami.”

    It’s a feature, guys!
    I notabene nie widzę z tym problemu. Żadnego. Mam >50 aktywnych adresów mailowych, ale do konta mam przypisane tylko te, które podaję ludziom których spotykam – właśnie w celu szybszego się znalezienia i utrzymania kontaktu. Żyjemy w społeczeństwie i to chyba norma, że utrzymujemy ze sobą zdrowe relacje?

  4. a skoro o Tweeterku, to coś o Uberku:
    właśnie się rypło, że w Meksyku Uber kooperuje z władzami i śledzi podróżujących.
    Rypło się, bo wyszło, że dwóch kierowców chorych było na koronawirus i Uber dostarczył władzom pełną listę ich pasażerow.
    Nie jest to może bulwersujące ze wzgledu na wagę sytuacji, ale znaczące ze wzgledu na kolejne ogniwo sledzenia.

    Prawdopodobnie w każdym kraju jest podobnie i Uber pełni taka rolę, jaką dawniej pełnił taksówkarz-donosiciel.

    motto: gdy masz coś za uszami nie jeździj uberami :-)

  5. Potwierdzam. Lekarze widzą gdzie ktoś pracuje – W połowie listopada skręciłem nogę. Zwolnienie miałem ze szpitala ( na miesiąc). W połowie grudnia więc poszedłem do normalnego chirurga na wizytę kontrolną. A ten mówi – “wypiszę Panu zwolnienie do końca roku bo chyba się Panu nie opłaca się wracać do roboty po świętach co nie?” Siada do komputera, nie zapytał nawet o NIP płatnika tylko zaraz stwierdził – “ooo, ale Pan ma własną działalność”…

  6. To jeszcze ciekawostka na temat RODO. Pracuję w biurze rachunkowym. Mamy pełnomocnictwa od klientów do portalu PUE.ZUS ( i odpowiednie umowy o przetwarzanie danych też oczywiście). Odkąd weszły elektroniczne zwolnienia lekarskie mając dostęp do PUE dostawaliśmy maila od ZUS że taki i taki pracownik w takiej i takiej firmie ma zwolnienie od…. do …. Od razu (wręcz automatem) szedł mail informacyjny do odpowiedniego klienta że taki i taki pracownik jest chory ( klienci najczęściej nie chcą się użerać z PUE.ZUS i zlecają to nam).

    Niestety w pewnym momencie ZUS doszedł do wniosku że to nie bardzo zgodne z RODO i teraz przychodzi tylko mail “U płatnika o numerze NIP…. pojawiło się nowe zwolnienie lekarskie…. ” – bez informacji kto, co, kiedy… I teraz wyobraźcie sobie biuro rachunkowe które dostaje 100 takich maili dziennie i najpierw trzeba po NIP-ie zidentyfikować firmę, zalogować się na profil klienta i szukać tam zwolnień. To kilka godzin dziennie więcej pracy.

    • dziwisz się? przesyłanie cleartextem danych pracownika, bez jego zgody i wiedzy brzmi jak naruszenie RODO. Gdyby te dane były szyfrowane, a Twoja firma otrzymałaby umowę powierzenia danych wszystko byłoby ok.

  7. swoja droga odnośnie Twittera komuś sie udało włączyć 2FA przez apke nie podając numeru telefonu ?

  8. Czy to nie jest tak, że lekarz widzi jedynie czy jest się ubezpieczonym w związku z umową o pracę (płatnikiem składek jest pracodawca), czy jako samo-zatrudniony? Nie widzi nazwy firmy.

    • Widzi nazwę firmy.
      Podobno potrzebne do tego żeby wystawić zwolnienie bo niektóre branże mają inne warunki wystawiania L4. Dlaczego po prostu system nie ogarnia tych przypadków bez pokazywania nazwy – nie wiem.

  9. moze wkleje dla potomnych:

    “Aby włączyć 2FA na Twitterze, trzeba podać swój numer telefonu (a wiec narazić się na wariant ataku z duplikatem karty SIM), ale… jak tylko numer podasz, to w opcjach dwuetapowego uwierzytelnienia możesz odznaczyć “Text message” — i powinieneś to zrobić. Wtedy Twitter nie będzie Ci wysyłał żadnych SMS-ów, a więc nikt ich nie przejmie.”
    oraz
    “Włącz opcję “password reset protection””

  10. Fajnie by było gdybyście rozwinęli temat wirtualnych numerów telefonu.

    Szukałem kiedyś w sieci ale trudno odróżnić czy danej firmie/apce można zaufać czy nie :( Może ktoś może coś polecić sprawdzonego i niekoniecznie bardzo drogie?

  11. I po co hakowac skoro ogolne dostepne uslugi pozwalaja na zbieranie informacji. Juz tyle serwisow (wiekszosc niezabezpieczonych) z API uzywalem ze nawet nie potrzebuje wlamywac sie na serwery zeby zebrac o kims informacje, wystarczy ze stworze sobie bota, a najbardziej podoba mi sie mozliwosc wyciagania danych z serwisow randkowych, tam praktycznie malo kto podaje falszywe dane chyba ze jakis fake.

  12. W sieci PLAY za 3 złote miesięcznie możesz mieć dodatkowy numer (tylko na przychodzące SMSy i połączenia głosowe). Do rejestracji kont-jak znalazł.
    Usługa się nazywa Xtra Numer

    • Prościej kupić byle prepaid (np. a2Mobile)
      -doładować za 5 zł i mieć rok ważności konta
      -obieranie SMS gratis
      -odbieranie rozmów gratis
      -do tego dodawane jest gratis 10 zł do wykorzystania

      Porównanie:
      3 zł X 12 miesięcy = 36 zł
      VS
      5 zł za 12 miesięcy = 5 zł

      Wnioski:
      31 zł w kieszenie

      Brzmi to trochę jak wpis jakiegoś konsultanta, ale nikt mi za to nie płaci :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: