20:11
14/7/2015

Napisał do nas pracownik firmy, której szef 3 miesiące temu odkrył ciekawy błąd w bramce SMS Play’a. Błąd zgłoszono Play’owi już w kwietniu, ale sieć nie reagowała. Dopiero publikacja w jednym z regionalnych dzienników wymusiła na rzeczniku Play’a obietnicę usunięcia usterki. Na czym polega błąd, który pozwala na poznanie danych osobowych klientów Play’a?

Play: bramka SMS rozmowna bardzo

Michał Dziak, właściciel sklepu detektywistycznego “Mój Szpieg” próbował skorzystać z bramki SMS Play przeznaczonej dla przedsiębiorców (jest to dodatkowo aktywowana usługa). Kiedy zaimportował do niej numery telefonów, na które chciał rozesłać wiadomość, jego oczom ukazały się “opisy” numerów. Podpisy takie jak “Frajer”, “tata”, “Zamrażanie Rur”, “PO Jacek Protasiewicz” sugerowały, że pochodzą one z książek kontaktowych innych osób, które w ten sposób opisały dodawany do pamięci swojego telefonu numer.

Play24 - rozmowna bramka SMS zdradza opisy klientów

Play24 – rozmowna bramka SMS zdradza opisy klientów

Najciekawsze w całej sprawie jest oczywiście to, skąd Play ma dostęp do wpisów w książkach kontaktowych swoich klientów? Odkrywca błędu sugeruje, że dane pochodzą z internetowego konta Play, na którym klienci sieci mogą wgrywać książkę adresową ze swojego telefonu lub z usługi, która pozwala dzwonić przez internet. Z kolei nasi czytelnicy mają inne hipotezy. Jeden z nich uważa, że dane tego typu może bramce SMS dostarczać aplikacja mobilna Play’a instalowana na telefonach klientów operatora, a drugi z czytelników przywołuje z pamięci ustawienia usługi “Muzyka na czekanie”. Konfigurując ją zauważył iż można blokować poszczególne numery z książki telefonicznej, w której znajdowały się numerów jego znajomych podpisane tak jak zapisał je na karcie SIM. Na tej podstawie czytelnik przypuszcza, że “Play ma swobodny dostęp do danych zapisanych na karcie SIM”.

Tu warto zaznaczyć, że “opisy” wyświetlane w bramce SMS dotyczą nie tylko numerów z sieci PLAY, a numerów tych wszystkich sieci, których abonentami byli znajomi klientów Play’a.

Co na to Play?

Rzecznik Playa, Marcin Gruszka w wypowiedzi dla Gazety Wrocławskiej tłumaczy, że wadliwą usługę świadczyła dla Play’a firma trzecia, a sam Play ma

“lepsze i stuprocentowo bezpieczne systemy z tą samą usługą”

Przedstawiciel Play’a tłumaczy, że to “co najwyżej dziura w systemie” a nie wyciek danych osobowych. Twierdzi, że tragedią byłaby odwrotna sytuacja, tj. pojawienie się numeru telefonu po podaniu nazwiska…

Ponieważ oświadczenie odebrało nam mowę, na tym artykuł zakończymy.

PS. Podobny błąd jak w usłudze Play’a znajduje się na serwerach Facebooka — tyle, że tam jest to “feature a nie bug”. Próba trzykrotnego błędnego zalogowania się na Facebookowe konto poprzez dany numer telefonu powoduje pokazanie imienia, nazwiska i zdjęcia właściciela konta, do którego należy tenże numer:

Fot. materiały z naszego szkolenia Bezpieczny Pracownik, w ramach którego pokazujemy szereg technik inwigilacyjnych dostępnych dla każdego

Fot. materiały z naszego szkolenia Bezpieczny Pracownik, w ramach którego pokazujemy szereg technik inwigilacyjnych dostępnych dla każdego

Ten sam efekt można uzyskać z adresem e-mail.

Przeczytaj także:

55 komentarzy

Dodaj komentarz
  1. Co do źródła to obstawiam aplikację mobilną Play24

  2. Z Facebookiem to jest tylko tak, jeśli już niegdyś z tego komputera się logowaliśmy na to konto.

    • To zabawne co piszesz. Właśnie poznałem numer niejakiego Andrzeja G używając losowego, nieznanego mi numeru.

    • Nieprawda Panie.

    • No ale przecież wystarczy wpisać numer telefonu w fejsbukową wyszukiwarkę żeby znaleźć daną osobę, więc po co kombinować.

    • No niestety prawda z tym losowym numerem na FB. Proponuję przetestować z numerem 604793502, drugi wpisany z kolei…

    • ale niektórzy mogą mieć zablokowane wyszukiwanie po numerze telefonu w wyszukiwarce – teraz ciekawe czy takiej osoby dane też pokaże czy tylko tych osób, które wyraziły zgodę na wyszukiwanie po numerze.

  3. komu ksiazki poleca? :D

  4. “Z Facebookiem to jest tylko tak, jeśli już niegdyś z tego komputera się logowaliśmy na to konto.”

    Śmiem się nie zgodzić, przed chwila wpisałem jakiś numer na pałe i zadziałało. Obawiam się, że żadna Meg Carlson nie logowała się na moim komputerze do fb.

  5. Jak byłem w USA wpisałem tam na Amerykańsiej domenie fb mój numer telefonu przez który się loguje i wyskoczyło mi że ten numer nalezy do jakiegoś araba więc nie wiem jak dokładnie działa ten system :P

    • Czy wpisales numer z prefiksem? Jesli bez, to fb mogl domyslnie przyjąc, ze chodzi o numer w kraju w ktorym przebywasz.

    • No to niezle joja z tym fejsem i wyglada na to ze co inna domena fejsa to inna baza danych… LOL

    • Dodaje domyślnie kierunkowy kraju w którym przebywasz. Jak wpiszesz w USA +48xxxxxxxxx to zadziała ;)

    • Od dłuższego czasu facebook prosi o podanie swojego numeru telefonu komórkowego. Jeśli ktoś przekazał swój numer fb to może być pewien, że jego konto ukaże się po wpisaniu nr telefonu ;) wpisując numer “na przypał” często można trafić na konkretną osobę :)

  6. A dla mnie Play nie istnieje, dla mnie ta firma kopnęła w kalendarz kiedy jeszcze była Era, zamiast T-Mobile.
    A nawet, lukajcie wszędzie gdzie się da, wątpię aby na zabezpieczonych stronach były takie akcje z logowaniami przez numer telefonu i pytam: Czy jest w tym kraju coś normalnego ?
    Więcej, firma Nominet która opiekuje się moją domeną, mimo że ma mój numer, adres itd., to logowanie mam przez hasło i 2FA, na Zoho to samo, hasło i 2FA, bo numery im nie są do niczego potrzebne, ale zauważcie dalej, każda firma która świadczy usługi i zabezpiecza się na numer telefonu czy wymaga numerów telefonu to takie akcje się dzieją. Czy ktoś z Was słyszał przynajmniej jakikolwiek włam do baz serwisów brytyjskich ? Wątpię, bo tam takie coś jak logowanie, czy przypominanie haseł przez telefon to największa bzdura jaka może być. Pamiętacie co była ta akcja z przekierowaniem rozmowy telefonicznej ? To ja teraz się boję o moje dane bo nawet banki takie coś mają, że trzeba potwierdzać SMS-em, a to dla dobrego profesora telekomunikacji to nie jest problem takiego SMS-a przechwycić.

    • Kurczę. tak się spieszyłeś żeby wyrzucić z siebie strumień świadomości, że zapomniałeś napisać o co Ci chodzi. No i ta pisownia jeszcze… Połowy nie można w ogóle zrozumieć. Nie, nie pamiętamy co była ta akcja…

    • Ja słyszałem o włamie do baz serwerów brytyjskich!
      Przez jakiś czas pracowałem do jednej z brytyjskich firm w branży finansowej. Poziom zabezpieczeń był fatalny, ale jakoś się udawało żyć bez kradzieży danych. Konkurencja też nie była lepsza, ale akurat oni mieli pecha i zaliczyli jakieś wtopy.
      Tak więc nie uważam, że Polska jakoś odbiega od reszty świata.

  7. Pamiętam jak kiedyś bawiłem się w trollowanie ludzi z forum (jako admin)… Odpisywanie po imieniu/nazwisku wyciągniętym z facebooka… Moim zdaniem jest to trochę irytujące, że ktoś kto ma mój adres e-mail może sobie mnie znaleźć na facebooku :)

    • Meh, jako admin to za łatwo. No i wyszukiwanie na fb po mailu można wyłączyć.
      W dobie nk i gg mógł się bawić każdy – nk posiadało funkcję importu listy kontaktów i bardzo ładnie podawało osoby. Tylko najlepiej było wcześniej wywalić infobota i mu podobne, bo dużo osób sobie je powpisywało, a dziesiątki stron losowych osób to nie jest fajna rzecz do przeszukiwania.

    • To czemu podajesz swoje prawdziwe dane (Email, Telefon) na FB?

    • Teraz rolę NK itd przejął LinkedIn ;)

  8. I naprawdę, jako exAdmin wypasionego forum, nie wiesz, jak to wyłączyć? Not sure if serious….or still trollin?

    • Not sure if troll or just stupid…

      Przeczytaj to zdanie jeszcze raz. Jako admin forum miał dostęp do maili userów, którymi się bawił. Inni userzy nie widzieli nawzajem swoich maili.
      Domyślnie na każdym forum maile nie są publicznie wyświetlane.

      Co miał wyłączyć, facebookowe wyświetlanie użytkownika po kilkukrotnym źle wpisanym mailu?

    • Wiem, ale nie każdy posiada tak zaawansowaną widzę jak podstawowe funkcje facebooka :)

    • A jak to wyłączyć? Pytam serio (tak ja nie wiem).

    • A jak to wyłączyć?

    • Niestety to nie do końca jest tak. Na facebooku w zakładce “prywatność” w dziale “kto może mnie wyszukiwać” są opcje: wszyscy, znajomi, znajomi znajomych, a więc nie da się całkowicie zablokować wyszukiwania poprzez e-mail. Moje konto można znaleźć pomimo maksymalnych ustawień prywatności i blokowania wszystkiego wszem i wobec… bez sensu.

    • Co jeśli zdradzę wam sekret, że wystarczy mieć oddzielne maile na oddzielne platformy aby się przed tym obronić? ;3

    • Osobne maile to jest zapobieganie. Myślałem, że jest jakiś sposób już po rejestracji w przypadku tego samego maila dla wszystkich platform… Jeżeli chodzi o ustawienia prywatności na fb, to jest pic na wodę…

    • W kwestii maila polecam wszystkim skorzystanie z “ficzera” gmaila. Wszystko co podasz po znaku + w mailu jest potem “ucinane”. Przykład: jan.nowak+facebook@gmail.com poleci do jannowak@gmail.com :)

  9. http://d-pt.ppstatic.pl/k/r/1/95/5e/55a50032b91a9_p.jpg?1436914488

    tutaj już nie zakryto, szef firmy Mój Szpieg niestety musi zmienić numer ^^

  10. “Na tej podstawie czytelnik przypuszcza, że “Play ma swobodny dostęp do danych zapisanych na karcie SIM”.”

    To nie trzeba przypuszczać, każdy operator to może i z tego korzysta, tylko pytanie czy w tym przypadku. I to nie tylko czytać, ale i modyfikować, wgrywać nowe rzeczy.

    http://www.gemalto.com/techno/ota

  11. Z tym Facebookiem coś nie do końca to trybi. Wpisuję numery telefonu z mojej książki kontaktowej i wywala mi jakieś zagraniczne osobowości w tym też konto należące do Bruce’a Lee :) Ani razu nie podało poprawnych danych.

  12. Zgodzę się aplikacja mobilna play24 oraz usługa teleplay

  13. TIP: Przy wpisaniu email’a/telefonu którego FB nie zna, pole ‘user’ jest czyszczone. Jeśli FB pod danym email’em/telefonem ma przypisane konto, nie czyści pola ‘user’. Tak więc po pierwszej próbie wiemy, czy warto klepać hasło 3 razy.

  14. Jeśli to prawda i Play posiada moją książkę adresową to nie ujdzie im to na sucho. Według mojej oceny pozyskali ją w sposób nielegalny na co bym nigdy nie zezwolił. Proszę o komentarz w tej sprawie.

    • To nie prawda.

  15. Co do oświadczenia, nie dziwi mnie jego styl. Play jest słynny z “kultury” znacznej części jego pracowników…

    • Akurat Gruszka to jeden z lepszych rzeczników w Polsce.

  16. Play wylansował się na polskich “celebrytach” i teraz niestety to jedna z największych sieci w PL.

    To jest nie do pojęcia że ktoś przez takie “luki” może poznać twoje dane w tym e-mail.

    Dziwi mnie trochę ich reakcja że zbytnio się tym nie przejęli. Jak nie chcą skończyć jak PlusBank to niech lepiej poprawią jak najszybciej te “luki”.

  17. Znalazłem prawdopodobnie właścicielkę mojego poprzedniego numeru telefonu :)

  18. To teraz pytanie – skąd Pan Michał ma kontakt z posłem Protasiewiczem??

    • Ponieważ w artykule zostało powiedziane, że zaimportował listę numerów do bramki sms dla przedsiębiorców, ciężko tu mówić o “kontakcie z posłem” – rozsyłana oferta miała być masowa, pan Michał prawdopodobnie w ogóle nie eksportował z bazy nazwisk, więc nawet nie wiedział do kogo dokładnie pisze.

      Możliwości jak ten numer się znalazł na liście.
      a) Protasiewicz sam się zapisał do tych jakichś informacji via sms.
      b) Ktoś go zapisał – skoro to nie jest premium sms tylko spam ze sklepu, nie potrzeba było raczej potwierdzenia.
      c) Ktoś niepoprawnie podał swój numer na stronie.
      d) Numer należał kiedyś do niego.
      e) Ktoś źle zapisał w kontaktach numer i nigdy jego poprawności nie zweryfikował/zweryfikował dopiero po imporcie kontaktów.
      etc.

  19. Szukam spamu w ktorym oferowana jest praca, chodzi oczywiscie o role slupa. Jesli ktos posiada takie maile prosze o podeslanie na adres: pomocnadlon@safe-mail.net Z gory dziekuje :)

  20. ” Na tej podstawie czytelnik przypuszcza, że “Play ma swobodny dostęp do danych zapisanych na karcie SIM”.”

    Kolejny powód, by zlikwidować karty SIM w ogóle.
    Skoro do rozmów przez Skype wystarczy konto wirtualne a nie plastik z czipem, to dlaczego w przypadku telekomów miałoby być inaczej?

    • No wlasnie, po co operator ma implementowac skomplikowane technologie do zarzadzania zawartoscia SIM skoro moze miec wszystko na swoim serwerze.
      No i z kontami byloby duzo latwiej przejac kontrole nad czyims numerem ;)

  21. Tak z innej beczki. Ciekawe, że Pan Protasiewicz korzysta ze sklepu “Mój Szpieg”. Próbuje odgryźć się Falencie, czy “kolegów” nagrywa.

  22. Jest w bramce Playa wizytówka SMS. Darmowa usługa pozwalająca wysłać predefiniowany komunikat i dodać podpis 20 znaków. Poprawność danych jest sprawdzana po stronie użytkownika. Nie trzeba nawet informatyka, żeby sobie zdjąć limit z podpisu i napisać darmowego, dłuższego SMS-a.

    Sama sprawa to nic wielkiego, ale pokazuje, że Play przed podjęciem pewnych działań, nie zawsze weryfikuje wprowadzane dane po swojej stronie. A to już otwiera morze możliwości i miejsc do testowania. Zgłaszałem sprawę, ale olali.

    A rzecznik play to okropna osoba. Pamiętam sprawę z Wikipedii. Był jakiś problem, rzecznik się wypowiedział o nim na swojej stronie. Potem się zrobiło głośno i stwierdził, że pierwszy raz słyszy o tym problemie. Mimo pokazywania mu, że trochę inaczej było i już nawet zajął stanowisko w sprawie, to dalej szedł z zaparte. Jego tłumaczenie wpadek, problemów, pasywności, to istny język goebbelsowski. Może i jest skuteczny, ale moim zdaniem sieje propagandę, wiele bardziej niż normalni rzecznicy. Nie ma dla niego kłamstwa, którego by nie potrafił powiedzieć. Nie mam z nich osobistych zatargów, ale niestety co jakiś czas wpada mi w ręce sprawa gdzie prezentuje taki brudny marketing oparty na kłamstwie. Jak on może patrzeć w lustro, wiedząc ile ludzi oszukał dla zysku i PR firmy?

  23. Stary błąd ^^ Kiedyś w Orange,w SMSboxie dało się zrobić to samo ^^

  24. PLAY dał odwłoku po całości. Za taką zwłokę odpowiedzialny powinien zostać wywalony na zbitą buzię.

  25. Zrobić sobie wpis w książce telefonicznej w stylu:
    ‘; DROP DATABASE;
    ciekawe czy by to przeszło :D

  26. To nie wpisy do książki adresatów, tylko ustawione “etykiety” przypisane TYLKO do konkretnych numerów na stronie playa (to co innego).

  27. No no teraz play wyłączył usługę teleplay – ciekawe dlaczego ? może znaleziono więcej dziurek…

  28. […] numerów od operatorów telefonii komórkowej nie są niczym nadzwyczajnym i się zdarzają, (por. Wyciek danych klientów z sieci Play). Podobnie jak włamania do sieci teleinformatycznej MON-u (por. Kancelaria Premiera i Prezydenta, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.