19:50
13/3/2012

Wtorek trzynastego okazał się pechowy dla Orange.pl. Dziś użytkownicy tego serwisu po zalogowaniu się na swoje konto widzieli dane osobowe (m.in. numer telefonu) innych klientów.

Awaria Orange.pl

Ok. godziny 13:30 zaczęliśmy otrzymywać od Was informacje, że serwis Orange.pl ma problemy — po zalogowaniu się na swoje konto abonenckie, przechodzenie pomiędzy podstronami losowo przełączało na konta innych użytkowników. Paweł, którego Orange.pl przywitało jako Marka, napisał:

Mogłem podglądać okresy rozliczeniowe, numery telefonów i zmieniać prawdopodobnie wszystko co nie wymaga wpisania hasła użytkownika na którego koncie pracowałem.

Orange.pl fail

Jakub Kałużny dodaje:

Dostępna była historia (!) i wysyłanie SMS z Internetu (te wysyłane przez panel dochodzą z numeru właściciela konta), panel Orange on-line — na szczęście do kluczowych funkcjonalności systemu (zmiana planu taryfowego, zamawianie usług) Orange stosuje dwuskładnikową autoryzację.

Skontaktowaliśmy się w powyższej sprawie z rzecznikiem Grupy TP, Wojciechem Jabczyńskim i natychmiast otrzymaliśmy poniższą odpowiedź:

Mogę potwierdzić, że mieliśmy awarię, która została szybko usunięta. Teraz dokładnie sprawdzamy jej przyczynę. Jednocześnie bardzo przepraszam naszych klientów za niedogodności z tym związane.

Jeden z czytelników poinformował nas, że BOK wie o sprawie i deklaruje usunięcie usterki w terminie …do 7 dni roboczych ;) Na szczęście Orange poradziło sobie z tym problemem w 2 godziny.

Dzisiejsza wpdaka Orange przypomina trochę niedawną awarię mBanku, podczas której klienci zalogowani na swoje rachunki bankowe widzieli szczegóły przelewów wykonanych przez inne osoby…

Niech żyje dwuskładnikowe uwierzytelnienie!

Na koniec warto zauważyć, że dzięki dodatkowej autoryzacji w postaci SMS-ów (wymagane do potwierdzenia pewnych działań w ramach konta abonenckiego Orange) skutki dzisiejszej wpadki zostały mocno ograniczone. Wspaniała ilustracja tego, dlaczego w systemach informatycznych warto stosować wiele warstw zabezpieczeń.

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. Tylko czemu dwustopniowe uwierzytelnianie musi być takie żenujące? Zawsze trzeba szukać telefony czekać na ssmana i przepisywać kod. Wszystko można lepiej rozwiązać.

    • Napisz jak, myślę, że wszyscy chętnie poznają to lepsze podejście :-)

    • Jeśli co kilka dni wbijam na stronę orange, to zazwyczaj korzystam z jednego kompa. Zamiast autoryzacji sms, może być bardziej zaawansowany algorytm, dzięki któremu za pomocą cookies, ip oraz np bycia zalogowanym na konto google jestem tą samą osobą. Autoryzacja sms niech będzie, ale nie co pięć minut. Jakiś czas temu orange także dowaliło autoryzację dodatkowo kodem PUK. Nie przewidzieli, że po wyłamaniu sima resztę plastiku wywaliłem. No i była zabawa z salonami.

    • No tak, szkoda, że jeszcze nie chcą za Ciebie myśleć.

    • @dave: rozwin mysl .. bo chyba nie kazdy zrozumial czemu wygode nalezy zamienic na zachowania z gruntu rzeczy paranoidalne?

      ps inna sprawa ze slabe ze zabezpieczenia mieli :(

    • Moim zdaniem Google fajnie rozwiązało dwu etapowe logowanie. Na smartfonie instaluje się “Google Authenticator”, którego zadaniem jest pokazywanie aktualnie obowiązującego kodu, dzięki czemu nie trzeba czekać na smsy. A dodatkowo można zaznaczyć checkboksa aby dany komputer był pamiętany przez najbliższe 30 dni – gorzej jeżeli usuwa się ciasteczka.

    • Tak odnośnie twojej drugiej wypowiedzi o algorytmie, który po IP, ciasteczkach i kto wie czym jeszcze pozna, że to ty i pozwoli na wszystko bez pytania. Proszę cię, powiedz mi jak ten algorytm odróżni ciebie klikającego w linki od a) kogoś, kto dopadł niewylogowane konto (np kafejka), b) od trojana (ktoś zdalnie klika za ciebie), czy jakiegoś virusa (który robi to samo, tylko schematycznie/automatycznie.

      Pozdrawiam. (też nie lubię iść po telefon do innego pokoju, ale chociaż tyle naszego ruchu przy ciągłym przesiadywaniu przed monitorem).

    • Może być nawet 10 stopniowa authentykacja. Tylko po co, skoro host funduje nam takie zonki? Przecież ‘Marek’ nie padł ofiarą żadnego phishingu ani nic z tych rzeczy….

  2. Ten cały ich panel wiecznie się sypie :/

    • Orange nieraz ignorował mi login i hasło i nic się nie mogłem dowiedzieć. Teraz sprawdziłem – może dzięki tej awarii jest OK.
      Dawno tak gładko nie udało mi się dowiedzieć ile zostało środków u mnie i u żony :-)
      Przydałoby się żeby częściej ktoś ich do roboty zapędził, tak zaniedbywali swój portal

  3. Wcale nie wiem czy to tak wspaniale, że jest potwierdzenie sms’em. W szczególności jeśli zalogowałem się ja, a widzę ustawienie kogoś innego, równie dobrze to do mnie może przyjść sms autoryzacyjny to zmiany ustawienia – jeśli w taki skomplikowany sposób system się pomyli.

  4. Nie ma nawet opcji sprawdzenia daty i adresu IP z ostatniego logowania, żeby sprawdzić, czy ktoś nie wszedł na konto.

    • Kto ci się podepnie pod ip twojego domu? Kto wyczaruje unikalny kod z twojego cookies? Oczywiście osiedlówka albo vpn, a po cookies można się do kompa włamać, ale to i tak bezpieczniejsze niż sms w androidzie. Piszemu prosty widget baterii i dolklejamy kod odpowiedzialny za czytanie nr telefonu i sms z orange. I mamy kody. Wszystko da się zrobić lepiej.

    • “ale to i tak bezpieczniejsze niż sms w androidzie. Piszemu prosty widget baterii i dolklejamy kod odpowiedzialny za czytanie nr telefonu i sms z orange. I mamy kody. Wszystko da się zrobić lepiej.”
      @tekataku
      Nie wiem czy wiesz ale przed instalacja oprogramowania na Androidzie masz wypisane jakie uprawnienia potrzebuje aplikacja.
      Jeżeli widget baterii chce uprawnienia do smsów to coś nie gra…

  5. Czyżby “gest pożegnalny” jednego z pracowników Orendżu? ;)

    • Jakoś trudno jest mi sobie wyobrazić tutaj “ups” … no kurde niby jak wybierając rekordy można pomylić id ;>

    • czasem za problemy tego typu odpowiadają błędy w cache’owaniu…

  6. “przypomina trochę niedawną awarię mBanku” => news z 29/11/2010
    ..yyy granice interlinkowania ;) ?

    • Fakt. Ponad rok czasu. Chyba, że Piotr załamuje czaso-przestrzeń i ten czas to dla niego 2 tygodnie ;). Hehe.

  7. Heh… zwykłe lenistwo, jak się komuś nie chce przepisać porządnie kodu i oddzielić php od html, tylko się to wszystko mieli w jednym pliku, to potem takie kwiatki wychodzą. Coś na ten temat wiem :)

    • Akurat orange nie stoi na php, a na j2ee.

  8. Nam się kiedyś zdarzyło coś podobnego. Po prostu Wyroczni coś się popier****** i podczas procesu przyrostowego odświeżania widoków zmaterializowanych (kilkanaście minut) zapytania zwracały dane innych klientów (tak jakby ktoś wymieszał klientów). Po zakończeniu procesu odświeżania wszystko automagicznie wróciło do normy.

  9. Mnie w wyniku tej awarii wyczyściło konto jednak Orange twierdzi inaczej i idzie w zaparte…szykuje się mała woja bo tak łatwo im nie odpuszczę

  10. To już nie pierwszy raz. Nie dziwmy się gdy takie możliwości zdarzają się co miesiąc. :(

  11. Od zawsze mieli problemy ze swoją stroną, często się ładowac nawet nie chce a jeszcze zrobili z tego 2-gie WP.pl

  12. […] możliwość 2 factor authentication podczas logowania — u nas korzysta z tego m.in. Orange, co już raz uratowało klientów tej firmy przed wyciekiem danych. Virgin Mobile mógłby też po prostu informować mailowo oryginalnego właściciela o zalogowaniu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: