10:18
28/11/2022

Totalizator Sportowy, który prowadzi serwis Lotto.pl rozesłał właśnie swoim użytkownikom “Informacje o bezpieczeństwie danych osobowych”. W związku z tym przesyłacie nam masę pytań. Wyjaśniamy więc kto powinien zacząć panikować a kto może spać spokojnie…

Nikt nie może spać spokojnie ;)

Zanim przejdziemy do tematu incydentu w Lotto.pl odpowiedzmy na pytanie z poprzedniego akapitu: nikt, kto umieszcza swoje dane w jakimś serwisie internetowymn nie może spać spokojnie. Dla własnego bezpieczeństwa zawsze powinniśmy zakładać, że te dane wyciekną na skutek ataku i kradzieży lub błędu pracownika. Dlatego wszystko co umieszczacie w serwisach internetowych, nawet w ramach poufnych czatów, traktujcie jako informacje publicznie dostępne. Dla każdego i na zawsze. Wtedy łatwiej będzie się pogodzić z ich stratą, a czasem też szybciej ugryziecie się w język lub po prostu nie wgracie na serwis jakichś istotnych danych (np. skanu dokumentu). No chyba, że bardzo lubcie hazard… ;-)

A teraz zajmijmy się incydentem w Lotto.pl. Tu przeczytacie całość wiadomości skierowanej do użytkowników. Poniżej omówimy tylko jej kluczowe fragmenty.

Co się stało?

Ktoś sięgnął do różnych baz z wyciekami z różnych serwisów. Wziął z nich loginy i hasła, a następnie sprawdził, czy na te same dane może się zalogować na lotto.pl. Taki atak nazywamy mianem “credential stuffing”. Polaka, który rok temu tak atakował Profil Zaufany złapano i skazano.

Podsumowując: atakujący nie wykorzystał żadnego błędu w serwisie lotto.pl. Wykorzystał to, że internauci korzystają z jednego hasła do wielu miejsc. Dlatego nigdy tego nie róbcie — zainstalujcie w końcu darmowy manager haseł, tutaj znajdziecie instrukcję jak to bezboleśnie zrobić. No chyba, że bardzo lubcie hazard… ;-)

Ile kont zostało przejętych?

Lotto.pl pisze, że był to “niewielki odsetek wszystkich kont”, a właściciele tych przejętych kont otrzymali powiadomienie w związku z tym incydentem. Nie wszyscy jednak, bo ponieważ dane były poprawne, Lotto.pl zauważa, że nie można było stwierdzić, że wykryto każde nieuprawnione logowanie.

No i tu pojawia się pierwszy problem serwisów internetowych, nie tylko lotto.pl, które nie wymuszają na użytkownikach dwuetapowego logowania. Ten atak (tzw. credential stuffing) powstrzymałyby nawet podstawowe kody wysyłane SMS-em lub generowane przez aplikację — te same kody, które już przy ataku phishingowym są bezużyteczne, bo da się je wyłudzić — na poniższym filmiku tłumaczymy jakie to proste:

Rada dla Was, wszędzie gdzie to możliwe włączcie sobie dwuskładnikowe uwierzytelnienie. Nawet jeśli nie jest to realizowane przez superbezpieczny superbezpieczny klucz U2F, to i tak w takich atakach “zgadywania haseł” pomoże. No chyba, że bardzo lubcie hazard… ;-)

Co zrobiło lotto.pl po ataku?

Ciekawa jest sekcja maila, która mówi o tym, co Lotto zrobiło, aby taki atak nie powtórzył się w przyszłości.

Uruchomiliśmy dodatkowe usługi z zakresu bezpieczeństwa serwisu;
Ograniczyliśmy możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch, tak aby nie można było wykonywać wielu prób logowań z jednego adresu zawierających różne loginy i hasła;
Rozszerzyliśmy scenariusze wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu;
Zamaskowaliśmy dane osobowe widoczne po zalogowaniu na profilu użytkownika.

Mądry Polak po szkodzie… Jeśli posiadacie serwis internetowy, który pozwala użytkownikom na zakładanie kont i logowanie, nie czekajcie na podobny incydent — już teraz “uruchomcie dodatkowe usługi z zakresu bezpieczeństwa”. Nieukrywanie danych osobowych widocznych po zalogowaniu to częste przewinienie wielu serwisów. Naprawdę, nie trzeba ludziom pokazywać pełnych numerów dowodów, czy telefonów. Po co? Po to, żeby zgłoszenie do PUODO po wycieku było bardziej bolesne?

⚠️ Jeśli potrzebujecie pomocy w zidentyfikowaniu innych błędów w swoim serwisie internetowym, takich które Was mogą zaboleć w przypadku ataku (zarówno na warstwie technicznej jak i procesowej), to dajcie nam znać, chętnie pomożemy.

Generalnie, to nie pozwólcie aby los (hehe) decydował o Waszym bezpieczeństwie. No chyba, że bardzo lubcie hazard… ;-) Jeśli korzystacie z jakiegoś serwisu, który nie umożliwia włączenia dwuskładnikowego logowania albo wyświetla Wasze pełne dane w zakładce profil, to zwróćcie jego administratorom uwagę, że to nie jest OK. Możecie ich skierować na ten artykuł.

Korzystam z Lotto.pl, co robić, jak żyć?

Przypomnij sobie, jakie dane można było zobaczyć po zalogowaniu na Twoje konto. Jeśli uważasz, że ich wyciek byłby dla Ciebie problematyczny, to postaraj się zmienić każdy z identyfikatorów, jakie przekazałeś serwisowi lub określ, jak taka wiedza mogłaby zostać wykorzystana przeciwko Tobie w innych miejscach.

Lotto.pl w swoim komunikacie, wprost “wskazuje na możliwość” zastrzeżenia dokumentu tożsamości i jego wymiany… Dlaczego? Jeszcze kilka miesięcy temu, jeden z czytelników pisał nam tak:

Strona www.lotto.pl nie ma opcji weryfikacji dwu etapowej, wystaczy zalogować się na konto gracza i tam są wszystkie dane jak seria i nr dowodu pesel etc. na moje pytania nawet nie raczyli odpowiedzieć.

Wygląda na to, że Lotto obliczyło szanse ataku inaczej niż nasz Czytelnik. Szkoda, że musiało dojść do ataku, aby Lotto zastrzeżenia naszego Czytelnika wzięło i wdrożyło… My nie posiadamy konta na lotto.pl, ale z informacji pozyskanych od użytkowników tego serwisu wynika, że — szczęście w nieszczęściu — nigdzie w profilu nie można było podejrzeć pełnego skanu swojego dokumentu tożsamości, który trzeba było przesłać do serwisu w celu potwierdzenia konta.

Lepiej późno niż wcale

Patrząc na ten incydent, trzeba pochwalić Lotto.pl za reakcje. Ostrzeżenie wysłano do wszystkich. Jest napisane przystępnym językiem i dobrze tłumaczy istotę problemu. Serwis wyciągnął wnioski co do tego, że nie był tak mocno chroniony przed atakami zgadywania haseł, jak mógł. Poprawki wprowadził. Można narzekać, że trochę za późno. Żeby na Was tak nie narzekali, jak oberwiecie podobnym atakiem, już teraz weźcie przykład z wdrożonych przez Lotto “dodatkowych zabezpieczeń” i sami też je wprowadźcie. No chyba, że bardzo lubcie hazard… ;-)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

55 komentarzy

Dodaj komentarz
  1. A ktoś wie / pamięta jakie dane były tam widoczne? Co dokładnie mogli przejąć?

  2. UE mogła by wprowadzić przepis wymagający weryfikacji dwuetapowej w każdym serwisie przetwarzającym nasze dane, wystarczy na początek kod email / sms – nie są to najlepsze rozwiązania, ale i tak znacząco by to poprawiło bezpieczeństwo serwisów internetowych w których obecnie w ogóle weryfikacji 2 etapowej nie ma.
    Co do nadmiarowych danych to ZUS w swojej nowej aplikacji wyświetla m.in pełny numer PESEL, na pytanie po co to robią odpisali, że aplikacja jest zabezpieczona PIN, a PESEL jest używany do składania wniosków – OK, tylko po co on się w całości wyświetla użytkownikowi ? Już nie mówię o ZUS przez www, bo tam jest tylko gorzej

    • rzeczywiście kretynizm aby na koncie w ZUS wyświetl sie PESEL. Że co? że się loguje i nie pamiętam jaki mam PESEL:)

    • Ja również nie rozumiem dlaczego niektóre instytucje wyświetlają dane typu PESEL, seria i numer dowodu, numer telefonu. Czasami te dane są zbędne. W innych przypadkach nie powinny być wyświetlane w całości.
      Przecież ukrywanie danych to bardzo prosty i tani sposób na podniesienie bezpieczeństwa.

  3. Coś mało ostatnio artykułów, może jakaś analiza kolejnej wpadki rządu i sprowokowanego miłościwie nam panującego prezydenta Andreja Du*y. To już parę dni minęło od rozmowy z rosyjskim Macronem.

  4. W kwestii przesyłania skanu dowodu – w przypadku lotto jest alternatywne rozwiązanie za pomocą profilu zaufanego

    • Od kiedy?

    • Dokładnie nie wiem od kiedy ale 2 miesiące temu już była taka możliwość. Co do danych typu numer telefonu czy numer dowodu osobistego to chyba był on zaciemniony (widoczne były tylko 4 końcowe liczby).

    • Od kiedy to nie wiem, ale jak rok temu zakładałem konto, to właśnie z takiej formy weryfikacji skorzystałem.

    • Nie wiem od kiedy, ale jakoś rok temu zakładałem konto i taka możliwość była.

    • MojeID nie jest profilem zaufanym. Potwierdzanie tożsamości tą usługą przez lotto nie dotyczy też wszystkich banków.

    • W kwestii wysyłania skanów dowodu jest (a przynajmniej była) taka opcja by zamiast wysyłać skan, przespacerować się do lokalnej delegatury lotto z dokumentem i OKAZAĆ go na miejscu.

  5. No a może wyciek był z jakiegoś cloudowego managera haseł?

    • Ten artykuł to była też próba ile razy można zmieścić “No chyba, że bardzo lubicie hazard ;-)” w jednym artykule i nikt nie zmieni mojego zdania.

  6. To samo bukmacher fortuna – po zalogowaniu można wejść do ustawień i zobaczyć nr dowodu, adres, wszystko. Możliwości 2FA nie ma, pisałem do nich na ten temat, odpisali ze jest bezpiecznie i elo. Pisałem tez wówczas do Was, ale bez odzewu. Pewnie temat wróci za pare miesięcy albo lat ;)

  7. „Zamaskowaliśmy dane osobowe widoczne po zalogowaniu na profilu użytkownika.”

    Ja tam nadal widzę Pesel i numer dowodu, nic nie jest w żaden sposób zamaskowane

  8. Nie wiedziałam o wycieku, weszłam zmienić hasło… i błąd “Wystąpił błąd z połączeniem do serwera. Kod błędu: 400” xD także miło.

  9. Właśnie przed chwilą zmieniłem hasło w Lotto. Po wprowadzeniu przez nich dodatkowych zabezpieczeń są z tym problemy. Mimo wprowadzenia prawidłowego, starego hasła parokrotnie wyskakiwał komunikat o błędzie. Dopiero po wylogowaniu się z serwisu okazało się, że hasło zostało zmienione. Gdybym nowego nie zapisał, byłby kłopot.

  10. Jasne… I ten ktoś, kto mi ukradł konto w lotto teraz wpłaci na nie pieniądze, zagra, wygra a wtedy ja odbiorę konto i zgarnę wygraną. Bo przy odbiorze będzie musiał pokazać dowód osobisty. A jak nie to zgarnie “moją” wygraną którą sam sobie wygrał (wpłacił i wybrał numery). A to złodziej.

    • :) Powodzenia (możesz nawet udostępnić dobrowolnie dane do logowania chętnym graczom:) ale celem mogły być jednak dane dostępne w profilach, jak napisał autor artykułu: “wystaczy zalogować się na konto gracza i tam są wszystkie dane jak seria i nr dowodu pesel etc”

    • Pieniądze na zakłady przeleje z kredytu, który weźmie na Twoje dane

    • A to już nie problem w wycieku danych (choc oczywiście nie ma w tym nic dobrego) lecz w tym że zbyt łatwo jest dostać kredyt na czyjeś dane… Ogólnie ktoś kto wymyslił, że kredytu można udzielić na podstawie skanu dokumentu czy znajomości numeru PESEL powinien iść siedzieć na długie lata.

  11. Szkoda, że nie wprowadzili dwuetapowego logowania… ale widać musi ich coś jeszcze trafić, żeby zrozumieli po co to istnieje…

  12. Czasem korzystam i jeśli dobrze pamiętam to na tym g…m serwisie nei można nawet użyć znaków specjalnych w haśle. A danych osobowych mają tam od cholery, na pewno do lewych kredytów wystarczy.
    A żadnego powiadomienia nie dostałem.

  13. Jak te cepy z lotto od lat dostają (ode mnie też hehe) maile o tym by włączyli logowanie dwuetapowe/dwuskładnikowe. Mają to gdzieś.

  14. […] sprawie napisał Niebezpiecznik. Jak czytamy na stronie Totalizatora Sportowego, w „ostatnim czasie doszło do […]

  15. Ja korzystam z lotto.pl bardzo często i bardzo często coś tam nie działa lub zawiesza się . Albo nie można obstawić zakładu , nie widać wyników losowań , nie widzi lokalizacji urządzenia i wiele innych . Także cała ta strona jest delikatnie mówiąc taka sobie .

  16. To samo robi Rumun na Wykop.pl XD TO na bank ta sama osoba.

  17. Dane osobowe zostały częściowo ukryte po zalogowaniu się na lotto.pl, niestety w aplikacji mobilnej nadal widać wszystkie dane.

  18. Mozna ich skarzyc za niewlasciwe przechowywanie danych wrazliwych?

    • Ten gościu by wszystkich wszędzie skarżył, swoją starą zaskarż. Nie udostępniaj danych i będzie gut

  19. Dużo się dziwić. Nie można stosować trudnych haseł na lotto.pl. Oto ich polityka haseł ” Hasło powinno zawierać: min. 8 znaków, maks. 20 znaków, min. 1 małą literę, min. 1 wielką literę, min. 1 cyfrę, bez znaków specjalnych”. Czyli tylko literki i cyferki

  20. Pio pierwsze Lotto nie wysłało tego maila do wszystkich. Mam tam konto i maila nie otrzymałem. Sprawdzałem spam i inne foldery. Maila nie ma. Po drugie nieprawdą jest, że Lotto ukrywa dane klientów. Ukrywa je połowicznie na stronie www. Nadal jest pełen adres i imię i nazwisko. (ukryli nr telefonu i nr dowodu) Ale za to w wersji aplikacji android są pokazywane pełne dane, z nr telefonu, peselem i nr dowodu osobistego. Po trzecie zmianę hasła można zrobić tytlko ze strony www. W aplikacji nie ma takiej zakładki.

  21. Na Lufthansa / Lot można się zalogować nr karty Miles & More + PIN, ponad rok temu wysłałem do nich prośbę o uruchomienie uwierzytelnienia dwuskładnikowego i …

    W PGE-obrot.pl ebok.gkpge.pl można dodać ePIN ale żeby go zobaczyć można podać hasło od loginu :)

    można wymieniać bez końca, wychodzi na to że te WIELKIE działy bezpieczeństwa niczego nie kumają

  22. I tak z samym hasłem troche lipa:

    “Hasło powinno zawierać: min. 8 znaków, maks. 20 znaków, min. 1 małą literę, min. 1 wielką literę, min. 1 cyfrę, bez znaków specjalnych”

    Maks 20 znaków i nie można znaków specjalnych :)

    Czyli klasyczne generowane w moim wypadku 30 znakowe ze znakami specjalnymi odpada :)

    Dawno nie widziałem portalu w którym nakłada się ograniczenie na długość hasła w okolicach 20 znaków.

    No i brak 2fa, fest lipa, też to kiedyś zgłaszałem, ale tez zostałem olany. Ogólnie w większości miejsc gdzie zgłaszam, że nie ma 2fa a są jakieś poważniejsze dane to zawsze jakaś randomowa odpowiedź wymijająca albo totalna zlewka.

    • A jaki mają algorytm haszowania haseł? Bo jeśli nie jest to md5 nawet solone a np. bcrypt wielorundowy to ograniczenie do 20 znaków nie jest takie straszne jak próbujesz przekazać. Zawsze możesz co miesiąc zmieniać hasło.
      2fa wiąże się z koszkami dlatego nikt się nie kwapi aby to wdrażać. Dziwi mnie np. stanowisko krajowych dostawców poczty wp, o2 którzy co prawda wdrożyli wreszcie 2fa ale na swojej własnej autorskiej aplikacji. Nie było by to tańsze zaimplementować generator kodów typu authenticator? Ktoś jest obeznany jaki to jest koszt ?

  23. Do tego lotto nie pozwala na używanie znaków specjalnych w hasłach x)

  24. Ale za co ich chwalić jak dalej nie ma weryfikacji dwu etapowej ?
    Chyba że czegoś nie zrozumałem

  25. A czy zwróciliście uwagę na siłę hasła, jakie jest wymagane przez lotto?
    Gdzie się da, ustawiam generowane losowo 64-znakowe hasło ze znakami specjalnymi.
    Ale na lotto się nie da się…

    “Hasło powinno zawierać: min. 8 znaków, maks. 20 znaków, min. 1 małą literę, min. 1 wielką literę, min. 1 cyfrę, bez znaków specjalnych”

    • > ustawiam generowane losowo 64-znakowe hasło ze znakami specjalnymi.
      I zapisujesz je na żółtej karteczce czy zapamiętujesz ?

      12-14 znakowe hasło ze znakami specjanymi trudno jest złąmać w czasei krótszym niz kilka lat

  26. Ale te wszystkie rozważania na temat długości i skomplikowania hasła mają mało sensu wobec faktu, że problem polega na ponownym użyciu hasła z innych serwisów.

    Tylko 2fa by tu pomogło.

  27. pytanie powinno brzmieć “czy można pozwać lotto za wyciek moich danych”? bo zamiast potwierdzić 18lat w punkcie lotto, żeby grać przez aplikację, to musiałem wysłać skan dowodu… który MIAŁ BYĆ USUNIĘTY PO WERYFIKACJI, jak się nie mylę…

  28. WPrawa Murphy’ego – zbiór popularnych, często humorystycznych powiedzeń, sprowadzających się do obserwacji, że jeśli coś może pójść źle, to pójdzie źle.
    Wypisuję się z tego kółka (Lotto) piechotą pójdę do punktu anonimowy wyślę kupon (kiedyś na kuponach stawiało się krzyżyki i wpisywało imię nazwisko adres) i mały spacerek będzie zaliczony ( Smart policzy kroki, google wyznaczy trasę i zapamięta) będę anonimowy!!!!!
    d

  29. Prawa Murphy’ego – zbiór popularnych, często humorystycznych powiedzeń, sprowadzających się do obserwacji, że jeśli coś może pójść źle, to pójdzie źle.
    Wypisuję się z tego kółka (Lotto) piechotą pójdę do punktu anonimowy wyślę kupon (kiedyś na kuponach stawiało się krzyżyki i wpisywało imię nazwisko adres) i mały spacerek będzie zaliczony ( Smart policzy kroki, google wyznaczy trasę i zapamięta) będę anonimowy!!!!!

  30. Niestety rozpoczęły się telefony od “pracownika działu bezpieczeństwa” z banku w którym mam konto. Do uwiarygodnienia oszustwa użyto danych, które dało się zobaczyć po zalogowaniu na konto lotto (jaki bank, końcówka nr tel, imię, nazwisko, adres etc.)

  31. Hahaha bo parę dni temu zwracałem im uwagę że w aplikacji mobilnej “chyba” nie ma Google ReCaptchy bo żadnej informacji w aplikacji o tym nie ma. A nie chcę robić dalej nielegalnych pentestów, nadal czekam na wyrok w sprawie Profilu Zaufanego. No to są sami sobie winni jak ulewają zgłoszenia.

    • Tak tak, a nawet jak zgłosisz to dojbią Ci, a ISP dostanie propozycję nie do odrzucenia, aby ‘wyczyścił aktywnosć’ (logi) z centrali gdzie to pantwo pierwsze kopie, Pff jebc, plske, jeszcze sie gosciu nie nauczyłeś ze to co wiesz wiesz dla siebie i ze na cała reszte sie szcza/ ? Max 1/3zawiasy 5k grzywny i 2k koszta sądowe – to co siedzialeś te 90 dni. Pozdrawiam

  32. Ech, naprawdę nie da się dobrze zrobić logowania przez sam login i hasło? Zakładając że użytkownik nie podaje ich na lewo i prawo oraz nie używa wszędzie tych samych danych.

  33. ja dostałem maila ale mam hasło unikalne dla tego serwisu, cos ściemniaja

  34. Wasza porada “wszystko co umieszczacie w serwisach internetowych, nawet w ramach poufnych czatów, traktujcie jako informacje publicznie dostępne. Dla każdego i na zawsze” jest oczywiście słuszna, tyle że jej logiczną konsekwencją powinien być zakaz cyfryzacji służby zdrowia. Przy obcenych technologiach zachowanie poufności danych pacjenta jest niemożliwe. A cyfryzacja jest i jest w Polsce obowiązkowa. Jestem zawiedziony, że polskie środowiska informatyczne nie biją na alarm.

  35. Nadal nie poprawili aplikacji Lotto android i dane są wyświetlane. Lotto ma to w pompce.

  36. A ja podziękuję za każdy serwis wymagający podania nr. tel do logowania.
    Nawet w banku wybieram opcje logowania bez konieczności podania nr. tel. (jeśli taka istnieje).
    Używam menadźera haseł z prywatną bazą, synchronizowaną pomiedzy 3 użądzeniami, więc mam unikalne, skomplikowane hasła do każdego z serwisów.

    Powodów takiego postępowania jest kilka, najważneiszy to całkiem realna możliwość fizycznego zagubienia (bądź zniszczenia) telefonu. W takiej sytuacji, przez jakiś czas jestem całkowicie odcięty od każdego z serwisów który wymaga tegoż telefonu (nr. tel.) do logowania. Następna kwestia to prywatność, im mniej danych musze podać, tym lepiej, a nr. telefonu jest doskonałym narzędziem do fizycznej identyfikacji cżłowieka.
    Kartę do telefonu też mam niezarejestrowaną.

  37. Na dzień dzisiejszy aplikacja lotto nadal bez aktualizacji i wyświetla ciągle wszystkie dane z nr dowodu i peselu i telefonu.

  38. Wielki sukces lotto. W końcu po aktualizacji z aplikacji usunęli pesel, ukryli nr telefonu i dowodu. Zostały pełne dane adresowe i imię nazwisko.

Odpowiadasz na komentarz lol

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: