10:06
23/8/2010

Jeden z naszych czytelników, Roman, ma ciekawą historię do opowiedzenia; o tym jak niechcący przejął konto innego klienta firmy Aster (internet, telewizja). Do “porwania” konta wystraczyły publicznie dostępne dane.

Halo? Kto mi urwał od internetu?

Roman pisze:

Przyszedłem rano do biura (wynajmujemy mieszkanie razem w 4 małe firmy), nikogo nie było. Nie było również internetu. Bardzo zależało mi na tym żeby internet działał, zadzwoniłem więc do Aster z pytaniem czy wyłączyli internet na danym adresie za zaległości w płatnościach.

W IVR (ang. Interactive Voice Response) nie mogłem podać numeru klienta i hasła ponieważ to nie ja podpisywałem umowę tylko mój kuzyn (inna firma) i to on ma wszystkie dokumenty. Wybrałem więc opcję, że nie jestem klientem sieci i jestem zainteresowany usługami.

Uczynna konsultantka

Pani w tym “okienku” nie potrafiła odpowiedzieć na pytanie czy faktycznie wyłączono usługi za brak płatności i oznajmiła, że w tej sprawie muszę się połaczyć z działem technicznym logując się w IVR. Odpowiedziałem, że nie znam loginu i hasła i czy napewno nie może sprawdzić dlaczego nie ma internetu. Konsultantka odpowiedziała, że może mi podać login i hasło żebym sam sprawdził u techników.

W tym celu zadała mi 3 pytania:

  • jaki jest adres świadczenia usług,
  • na kogo została podpisana umowa (odpowiedziałem, że na firmę i podałem nazwę firmy)
  • jaki jest NIP firmy

…po czym podała login i hasło.

Trochę mnie to zdziwiło (bo wszystkie podane przeze mnie dane są ogólnodostępne) ale po pierwsze, zależało mi na załatwieniu sprawy, a po drugie, myślałem że to może jest jakieś jednorazowe hasło tylko do IVR.

Przejął Pan już konto, w czym jeszcze mogę pomóc?

Roman z nowym hasłem z powodzeniem zalogował się na na infolinię (224014014) i połączył z działem technicznym. Okazło się, że internet nie został odcięty, więc Roman pomyślał, że sprawdzi konfigurację routera — i tu pies był pogrzebany. Po wymianie routera na inny, wszystko wstało, …ale Roman z ciekawości połączył się z adresem panelu klienta wilga.aster.pl w którym można m.in.

  • zamawiać nowe usługi,
  • oglądać faktury,
  • zmieniać hasła dostępu do skrzynek,
  • oglądać bilingi

Roman chciał sprawdzić, czy podane przez konsultanta hasło będzie działać. Działało.

Jak podsumowuje Roman:

W ten sposób okazało się, że żeby poznać hasło i login klienta biznesowego Aster należy znać tylko dane teleadresowe firmy, które każdy może znaleźć w internecie. Rozmowa z konsultantką Aster trwała 2 minuty. Dużo się nie trzeba namęczyć.

A Aster na to…

Poprosiliśmy o komentarz w tej sprawie rzecznika prasowego firmy Aster, zadając mu trzy pytania:

  1. Czy operator Aster jest świadomy w/w “luki” w systemie swojej infolinii, a może nie postrzega tak przeprowadzanej procedury resetu hasła jako zagrożenia?
  2. Jakie kroki (jeśli w ogóle) Aster zamierza podjąć aby prawić procedurę weryfikacji użytkownika?
  3. Gdzie na Państwa stronie WWW mozna znaleźć bezpośredni kontakt do działu bezpieczeństwa (lub: dlaczego go tam nie ma? :)

Oto odpowiedź, którą otrzymaliśmy:

Procedura weryfikacji użytkowników naszych usług określa precyzyjnie w jaki sposób osoby odpowiedzialne za kontakt z abonentami powinny postępować w przypadku, gdy klient zapomni hasło do systemu administracyjnego WILGA. Procedury takie dotyczą zarówno klientów indywidualnych, jak i biznesowych. W obu przypadkach stosujemy odpowiednie rozwiązania dotyczące dokładnej weryfikacji uprawnień naszych klientów.

W przypadku klientów biznesowych procedury ASTER nie zezwalają na telefoniczne udzielenie informacji dotyczącej hasła klienta, z uwagi na brak możliwości weryfikacji jego uprawnień. Danych niezbędnych do zarejestrowania się w systemie WILGA udzielamy tylko osobiście, w Salonach ASTER, pod warunkiem, że przedsiębiorca, który się do nas zgłosi posiada uprawnienia do reprezentowania podmiotu. Takie zasady gwarantują naszym klientom bezpieczeństwo.

Trudno jest nam się odnieść konkretnie do opisywanej przez czytelnika sytuacji, ponieważ nie znamy szczegółów tej sprawy. Z pewnością jednak dokładnie przeanalizujemy ten przypadek i wyciągniemy z niego wnioski. — Adam Mitura

Może zrobimy małą ankietkę?

Na ile z zadanych przez nas pytań odpowiedział rzecznik Aster?

Reset hasła przez infolinię jest łatwy

Resetowanie i zmiana hasła to jedna z pierwszych procedur, jakie ekpia Niebezpiecznika testuje w tracie wykonywania zamówionych u nas komercyjnych testów penetracyjnych serwisów internetowych oraz innych aplikacji wymagających uwierzytelniania użytkownika (np. systemów IVR).

Zmiana lub reset hasła zawsze działa podobnie. Pytanie o nazwisko panieńskie matki, datę urodzenia — czyli w większości dane, które można łatwo sprawdzić np. w internecie (vivat Facebook, vivat Nasza-Klasa i zbyt-trudne-do-zrozumienia ustawienia prywatności).

Niektóre systemy IVR podczas procedury odzyskiwania hasła wymagają podania kodu przesłanego SMS-em albo zdrapki z karty. Co się jednak stanie, jeśli powiemy, że zapomnieliśmy loginu (numeru klienta), zgubiliśmy telefon albo kartę-zdrapkę z kodami? I na to jest procedura weryfikująca tożsamość, a omijająca brak wymaganego do weryfikacji kroku… :)

Jak wabi się pana piesek?

Pamiętam historię, którą opowiadają sobie operatorzy jednej z infolinii — o człowieku, którego głos doskonale znali, bo dzwonił do nich przez całą noc i zgadywał poszczególne odpowiedzi na pytania kontrolne (np. imię psa) służące do wykonania przelewu przez telefon. Za każdym razem trafiał na inne trzy pytania kontrolne i zapewne skrupulatnie zapisywał wyniki niepoprawnych uwierzytelnień. Najgorsze jest jednak to, że operatorzy infolinii mimo iż podejrzewali, co się dzieje, to nie mieli możliwości “odcięcia” takiego klienta. Zgodnie z procedurami, muszą odebrać połączenie i zadać pytania, a następnie odpowiednio zaregować w zalężności od tego czy odpowiedź była poprawna czy nie. Czyżby brak procedur na dziury w procedurach procedur?

P.S. Koniecznie przeczytajcie “Jak rozbawić telefonicznego konsultanta podczas weryfikacji tożsamości“.

Przypominamy, że podszywanie się pod inną osobę, wyłudzanie usług teleinformatycznych, nieautoryzowana zmiana danych w systemach informatycznych oraz zapoznawanie się z “informacją dla danej osoby nieprzeznaczoną” jest przestępstwem!

P.P.S. Pracowałeś na infolinii? Podziel się w komentarzach tym, jakie zabezpieczenia przed przejęciem konta stosowaliście …i jak często zdarzały się telefony z prośbą o zresetowanie hasła oraz telefony ze skargą “ktoś przejął mi konto”.

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Hehe, ankieta miażdży ;) Jak nic z tym nie zrobią to lepiej dla tych co nie korzystają z ASTER a mają dużo wolnego czasu ;)

  2. Przepraszam bardzo, ale czy jest jakieś szkolenie dla rzeczników prasowych, które każe rozpoczynać odpowiedź od frazy “Procedura weryfikacji użytkowników naszych usług określa precyzyjnie w jaki sposób osoby odpowiedzialne za kontakt z abonentami powinny “? :)

    Widziałem taką odpowiedź już co najmniej kilkanaście razy. Czy ich zdaniem to, że procedura jest precyzyjna jest równoznaczne z tym, że jest poprawna?

    • Marcin: Daj spokój rzecznikowi, taka jest jego praca — odwracać uwagę. I chyba mu się uda, jeśli w komentarzach będziecie dyskutowali o tym jak celne były jego odpowiedzi, a nie o istocie problemu ;)

  3. A tam ankieta, najlepsze jest zdjęcie z podpisem “Jak wabi się pana piesek?”.

  4. Firmy świadczące usługi informatyczne to chyba w ogóle jakieś kulawe jeśli chodzi o bezpieczeństwo. Czy wyobrażacie sobie aplikację przez WWW, która w odpowiedzi na błędne dane do zalogowania wypluwa pełne zapytanie SQL, które leci co bazy? Nie? No to proszę śmiało zerkać :)

    http://pawlos.blogspot.com/2009/06/bezpieczenstwo-jak.html

    Pozdrawiam,
    Paweł

  5. W telekomunikacji procedura jest podobna, tyle ze pytania są bardziej szczegółowe i dot. np. kilku ostatnich faktur. Inna sprawa, ze w tepsianym (i nie tylko) systemie wadą są ludzie, którzy o bezpieczeństwie wiedzą niewiele, a czasem o samej weryfikacji abonentów zwyczajnie zapominają (pozdrawiam panią z Netii). Choć mnie zdarzyło się np. odebrać kilka telefonów, gdzie rozmówca (ewidentnie nie abonent) identyfikował się pinem (np. data ur. właściciela, albo po prostu 123456) i nie mozna mu było nie udzielić informacji (choć procedura niby zabraniała udzielania informacji osobom trzecim, to nakazywała traktować osobę zidentyfikowaną pinem jak abonenta). Szczytem bezczelności był np. pan, który identyfikując się pinem, przedstawiał się jako pani Anna.

    Zupełnie inną, acz nie mniej ciekawą kwestią są natomiast np. zabezpieczenia intranetu TP. Tam to jest dopiero dziki zachód :)

  6. O oczywistych rzeczach się nie dyskutuje, więc istota problemu odpada.

  7. w ankiecie zagłosowałem na 1: na pierwsze pytanie, pośrednio, odpowiedzieli – NIE są świadomi tej luki ;]

  8. A propo zabezpieczeń… Mój kolega podjechał sobie pod antenę z laptopem i sprawdził czy mu coś wykryje. I znalazł sieć o tajemniczej nazwie “tpsa” i “dla jaj” wpisał hasło takie jak nazwa przy próbie połączenia… Oczywiście się połączył :D I jak powiedział nigdy nie miał tak wysokich transferów w P2P :D

  9. @mr.D
    A no – Usługa zarejestrowana jest na kobietę, aczkolwiek PAN Klient wie wszystko. Ba – nawet trzeba do niego mówić per Pani. Pomijając fakt, że na początku rozmowy przedstawił się imieniem męskim… Cóż – procedura to procedura, działać trzeba. :)

    W TP głównym identyfikatorem jest 6cio cyfrowy PIN lub hasło abonenta (jeżeli nie ma, to pytania szczegółowe lub pytania, które powymyślał sobie właściciel). No i można sobie zamówić… “To ja chciałbym zamówić usługę 20mb” – :) Jak myślicie, ilu ludzi będzie mieć taką linie, która da rade? A potem rezygnacja z zamówienia…

    I fakt, mr.D dobrze zwrócił uwagę: Czynnik ludzki + Intranet TP… zastanawiam się, kiedy tam trafi się ktoś mądry, który sprzeda całą bazę… ]:->

  10. “Jakie kroki (jeśli w ogóle) Aster zamierza podjąć aby prawić procedurę weryfikacji użytkownika?” – prawić :)

  11. Nie lamie sie zabezpieczen tylko ludzi.
    W asterowym przypadku człowiek zawiodl.

  12. Pracujac kiedys w helpdesku na rzecz pewnego banku, uzytkownikow weryfikowalismy po PINie (PIN skladal sie z 4-ech ostatnich cyfr numeru PESEL). W momencie gdy użytkownik nie miał pod reką swojego DO mógł za niego zweryfikować się jego przelożony. W trakcie pracy na rzecz tego banku nauczyłem sie kilku sztuczek ktore pozwole sobie zostawic dla siebie ;-)

  13. zerknijcie jakie szyfrowanie preferuje firma “aster” przy swoich routerach wifi.

    WPA ;/

  14. Generalnie firma Aster ma problem z zabezpieczeniami a to raczej jest związane z bałaganem który tam mają (lub mieli).

  15. Odnoszę wrażenie, że większość takich sytuacji wykrywana jest przy okazji sytuacji podbramkowych. W moim przypadku luki w uwierzytelnieniu telefonicznym też ujawniły się kiedy to brakło mi internetu, którego umowa nie była na mnie.
    Ogólnie nie uważam powyższego jako odosobnionego przypadku, a niestety raczej jako smutną rzeczywistość.
    I bądź tu człowieku ufny przy podawaniu danych i podpisywaniu umów…

  16. hmm, pracuje w cc. innej firmy. resetowanie hasla zdarza sie czesto. sa scisle procedury, ktore imho sa glupie. a pytania dziwne. wiekszosc klientow ich nie rozumie. lecz system dziala tak – jak ktos jest mily, wzbudza zaufanie swoim glosem lub urzeka nas jego historia o tym jak dziadek umarl a dostepu do uslugi nie ma, to poprostu naginamy zasady i pomagamy. hmm tu jeszcze lezy kwestia monitoringu ktory kontroluje czy dzialasz zgodnie z procedurami, czy nie. jesli nie ma na aktualnej rozmowie monitoringu to poprostu sie pomaga.

    co do masowych wyludzan hasla. raczej nie ma. w mojej polrocznej karierze w tej pracy, tylko raz sie zdarzylo ze 2 os logowaly sie na server z tych samych danych.

  17. Witam,
    To moje hasło “przechwycił” brat Roman.
    Odnośnie tej procedury o której pisał rzecznik to to są bzdury.
    Od dawna zajmujemy się między innymi świadczeniem usług serwisowych IT w Warszawie i szczerze mówiąc nawet nie wiem gdzie jest punkt obsługi Aster ponieważ zawsze odzyskiwałem hasła swoje i swoich klientów w ten sam sposób, przez infolinie.

  18. A gdy ja wysłałem Wam artykuł (2 miesiące temu), o wyłudzaniu danych osobowych i haseł dostępu w Play to nie chcieliście opublikować :P

  19. MrMgr: przyjdzie czas i na to ;)

  20. Normalne. Kiedyś w niewielkiej firmie odmówiłem klientce zmiany hasła do konta email na telefon. Jej oburzenie było wielkie. Moje tłumaczenie było krótkie. Szczęśliwie zrozumiała. A hasło zmieniliśmy. Na telefon, tyle, że ja dzwoniłem do osoby na którą były faktury.

    Z innych miłych – kiedyś jak powiedziałem klientowi, że na telefon się nie da, to grzecznie i bez szemrania przybył do siedziby i się wylegitymował. Z paszportu, bo zagraniczniak. Nawet wyglądał na zadowolonego (po “sorry for trouble, I had to check to be sure”), że nie zmienia się ot tak po prostu.

    Ale najlepszy był telefon do TPSA. Bodajże chodziło o przekierowanie na inny numer. Właściciela linii nie ma, przekierowanie musi być ustawione i to szybko. Mówię, że nie jestem właścicielem, tylko pracuję na jego zlecenie, PINu nie znam. No i wychodzi, że nie mogę zrobić zlecenia. Ale jest furteczka. Mogą zweryfikować, czy jestem właścicielem (mówiłem wprost, że nie jestem, prawda?), tylko muszę odpowiedzieć na parę pytań. Nic do stracenia. Pytania z gatunku oczywistych (dla osoby współpracującej) albo takich, których można się domyślić/wygooglać (jeśli firma ma WWW). No i dochodzimy do ostatniego pytania, IIRC jakie pakiety minut są wykupione. Mówię, że tu to pojęcia nie mam. On na to, że muszę odpowiedzieć. Mówię, że będę strzelał (chyba zapytałem o możliwości nawet i podał mi). Strzelam. Pada niemal teleturniejowe “to jest prawidłowa odpowiedź!” i już bez przeszkód złożyłem zlecenie…

    Co do opisywanej historii, rozumiem, że konsultantka miała dostęp do hasła plain tekstem, nie generowała nowego? A same procedury tego typu są popularne. Podobnie można zarejestrować na siebie czyjś numer telefonu (prepaid; o ile nie zrobił tego wcześniej) – nie przekonywały ich rachunki z zakupu karty itp. za to odpowiedź, kiedy było ostatnie doładowanie, ile na koncie (mniej więcej) i jakie usługi dodatkowe wykorzystane – owszem. Kwestia użyteczności do bezpieczeństwa, zapewne.

  21. Czyli spora kolejka, skoro aż 2 miesiące trzeba czekać.

    • zzz1986: tak… w kolejce jest 70 “spraw” :>

  22. @rozie – w tej firmie o ktorej mowisz, za stawke 6 zl za godzine, ludzie sa nastawieni by ci pomoc i cie splawic. zwracajac uwagi na wszystkie wskazniki na ich infolinii, mowiace o tym czy klient powroci w przeciagu x dni, ktore decyduje o premii, wola wydac haslo nie upowaznionemu niz by dzwonil on 2gi raz. taki od chory system.

  23. dokladnie tak samo resetuje sie chaslo w neti i w sieciach komurkowych era, orange, plus gsm i play

    tez sie temu dziwie ze tak latwo mozna zmienic haslo i co gorsza nawet uslugi (np zwiekszyc abonament zmieniajac na wyzsza opcje internet lub oferte telefoniczna)

    paranoja
    ale to jest mozliwe tylko w takim komunistycznym panstwie jak polsk

  24. Mi kiedys wylaczyli SDI (taki zabytkowy internet w TPSA), bo jakis pan podpisal umowe na Neostrade i podal moj numer telefonu przez pomylke, ktory NIE zostal sprawdzony z jego danymi osobowymi (adres/nazwisko). 3 tygodnie nie mialem netu, a w miedzyczasie wizytowal mnie nawet technik (niestety tylko mama byla w domu), ktory jakby nigdy nic odlaczyl modem SDI od linii, podlaczyl swoj Neostrady, powiedzial, ze dziala, potem spowrotem przylaczyl modem SDI i pojechal o_0

  25. Ja pracuje na infolinii Netii. Weryfikacja polega na podaniu numeru konta abonenta/nr pesel. W gre wchodzi takze numer umowy, adres korenspodencyjny i numer kontaktowy. Przed zadaniem pytań wymagana jest identyfikacja głosu i imienia i nazwiska. W TP nawet jak kobieta dzwoni i podaje się za Stefana to jest to uznawane za rozmowe z wlascicielem.

  26. @bartosz; da sie z toba jakos skontaktowac? ;’d moj jid: bikstopa@jabber.ru

  27. Ze wzgledu na zmiane miejsca zamieszkania, zmieniam pokoleji adresy do korespondencji w roznych miejscach. Miedzy innymi adres prenumeraty menshealth.

    Numer ze strony http://www.menshealth.pl/prenumerata.html , chwila czekania i mily glos w sluchawce.
    “Dzien dobry, chcialbym zmienic adres dostarczania prenumeraty, czy moge to zrobic pod tym numerem?”
    – “Tak, prosze podac obezny adres dostawy”
    “[adres]”
    – “Pan, [imie nazwisko]?”
    “Tak”
    […]

    Dodam, ze polowa numerow przychodzi w folii, druga polowa w kartonowej kopercie. Zyczliwy sasiad moze bez problemu zobaczyc co prenumeruje i przywlaszczyc sobie prenumerate :)

  28. […] kilka dni temu pisaliśmy o zmianie haseł dostępowych przy pomocy infolinii (na przykładzie telewizji Aster)… a tu kolejny dowód na to, jak łatwo jest podkraść […]

  29. […] kilka dni temu pisaliśmy o zmianie haseł dostępowych przy pomocy infolinii (na przykładzie telewizji Aster)… a tu kolejny dowód na to, jak łatwo jest podkraść […]

  30. Miałem można powiedzieć, że podobną sytuacje z Aster. Poszedłem do nich do biura żeby podpisać nową umowę. Wszystko niby cacy, pan przy komputerze wszystko u siebie wyklikal, druknoł umowę i daje mi do podpisania. Jak ją pobieżnie przestudiowałem to się okazało, że dał mi do ręki umowę zupełnie obcej osoby, inne imię i nazwisko, i wszelkie dane tej osoby jakie są zawierane w takich umowach.

  31. wpisałam cokolwiek – ciekawy test – ciekawe ilu ludzi podało prawdziwe dane ???

  32. Tyle piszecie że Aster ma cienkie zabezpieczenie i procedury weryfikacji a mi nie chcieli nawet podać kwoty do zapłaty jaką powinien wnieść mój brat by opłacić telewizję w tej sieci ponieważ nie podałem im numeru konta (którego nie znałem).
    Byłem gotów podać wszystkie inne dane np. pesel itp. ale oni kazali przyjechać do ich siedziby. Więc chyba coś się jednak zmieniło.

  33. Wiedzieliście że hasło dostępu domyślnie jest wpisywane jako 123456 ?!
    Wystarczy znać Login Abonenta i jeżeli domyślne hasło nie zostało zmienione można do woli manipulować usługami czy pakietami za tel, int, tv!
    Nice hole my love

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: