13:29
11/10/2013

Regenersis to firma zajmująca się naprawą telefonów. Po przyjęciu zepsutego sprzętu, pracownicy firmy robią mu zdjęcie i umieszczają je w sieci w taki sposób, że jest dostępne dla każdego, kto zna identyfikator. Niestety oprócz zdjęć, w ten sam sposób, tj. bez żadnego uwierzytelnienia, serwis udostępnia udostępniał w internecie dokumentację zawierającą dane klientów.

Strona Regenersis posiada wyszukiwarkę, przy pomocy której można sprawdzić status zlecenia. Należy podać IMEI urządzenia, a w odpowiedzi otrzymamy m.in. link do zdjęcia.

http://regenersis.pl/Photo.aspx?ID=[numer]&DB=[typ]

Typ, np.: HTCPRO, SAMPRO

Dostępu do zdjęć nie zabezpieczają żadne jednorazowe/tymczasowe/nieprzewidywalne tokeny, a więc enumerując ID można uzyskać dostęp do danych innych klientów.

To klasyczny problem wielu webaplikacji generujących masowo faktury. Przejrzyjcie swoje skrzynki e-mail pod kątem faktur “do ściągnięcia z internetu” w PDF. Często zmiana ID w linku spowoduje pokazanie danych innego abonenta danej usługi.

Firma Regenersis informuje na swojej stronie, że zdjęcia sprzętu dostępne są tylko przez 2 tygodnie, jednak przykładowe zdjęcie podesłane nam przez jednego z czytelników, zwraca datę sprzed miesiąca…

Przykładowe zdjęcie zepsutego sprzętu

Przykładowe zdjęcie zepsutego sprzętu, ciągle dostępne

Wykonany dziś rano test, polegający na dostępie do podesłanych przez czytelników URL-i, nie potwierdził jednak, że Regenersis wciąż udostępnia dane klientów online. Do wczoraj jednak dane takie miały być dostępne, co potwierdzają zarówno nasi czytelnicy, jak i “antyfanpage” Regenersis. Obecnie, dla niektórych z identyfikatorów (zapewne tych z fakturami/dokumentami) serwis zaczął zwracać komunikat błędu:

Komunikat błędu

Komunikat błędu

Wysłaliśmy w powyższej sprawie pytania do Regenersis, w momencie otrzymania odpowiedzi zaktualizujemy artykuł.

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. A tutaj mamy zdjęcie z maja 2013r. -> http://www.regenersis.pl/Photo.aspx?ID=1111131&DB=HTCPRO

  2. Przydałby się jeszcze numer konta, telefon, mail i inne ciekawe rzeczy :P

  3. Wchodzę na ten “antyfanpage” i są linki, które dalej są dostępne dla wszystkich: http://www.regenersis.pl/Photo.aspx?ID=1245280&DB=HTCPRO

    Zastanawiam się czy do nich nie napisać proponując za jakieś 500zł zabezpieczenia tego :)

  4. Błąd w pierwszym zdaniu, Regenersis jest firmą stwierdzającą unieważnienie gwarancji telefonu – i nie chodzi bynajmniej tu o zbitą szybę/ ekran dotykowy, ale o wady ukryte sprzętu.

  5. “Wykonany dziś rano test… ” – to jak to wygląda prawnie z tymi niechcianymi testami ?

    • Ostatnio była nawet taka sprawa w sądzie: jakaś gazeta umieszczała pod przewidywalnym urlem następną okładkę, koś to zgadł i pobrał. Generalnie chcieli go pozwać o złamanie zabezpieczeń. Sąd uznał że by złamać zabezpieczenia takowe muszą być obecne.

    • @SebaVegas: “polegający na dostępie do podesłanych przez czytelników URL-i”. Jak ktoś im podsyła URL i oni w niego klikają, żeby sprawdzić zawartość to nie łamią prawa. Prawo złamaliby próbując SQL injection (z sukcesem) lub obciążając serwer ruchem, który spowodowałby uniemożliwienie innym klientom dostępu do usługi.

    • “Prawo złamaliby próbując SQL injection (z sukcesem)” – nie do końca.

      “\”Nie można przełamać czegoś, co nie istnieje\” – polski wyrok w sprawie SQL Injection”
      http://prawo.vagla.pl/node/8154

    • Krzysiu: zwróć uwagę, że od 2008 była nowelizacja i 267
      brzmi inaczej…

  6. O. Z niebezpiecznika zaczyna sie robic pwned gallery? Srsly, nie dzieje sie nic ciekawszego od dziurawego systemu “jakiejs” firmy uslugowej?

    • “Gallery” to moim zdaniem nie jest. Nakreślają istotę problemu, a nie tylko dają znać o uzyskaniu nieautoryzowanego dostępu.

    • Wlasnie … a co z problemami WhatsApp i szyfrowanie
      wiadomosci? Metasploit i Fax?

    • Metasploit wisi po prawej, a whatsapp chyba niezbyt popularny w pl…

    • Ja korzystam z WhatsApp i moi znajomi również :)

  7. Rano ok godz. 9 można było jeszcze wszystko oglądać bez problemu.

  8. a tu mamy z marca
    http://www.regenersis.pl/Photo.aspx?ID=1011131&DB=HTCPRO

  9. Fakt że sama taka możliwość za dobrze o firmie nie świadczy, ale zdjęcie czyjegoś uszkodzonego telefonu nie wydaje mi się informacją która koniecznie powinna być chroniona…

    • Nie są tam tylko zdjęcia uszkodzonych telefonów. Są również zdjęcia protokołów, faktur i innych rzeczy, które posiadają dużą część danych osobowych takich jak imię, nazwisko, adres, numer telefonu etc. Wyobraź sobie teraz do jakich rzeczy te dane można wykorzystać.

    • Zdjęcie to nie problem ale tam były dane klientów a to już jest problem.

    • czyli jednak można mieć hasło typu ‘ or 2396328762348763248764328=2396328762348763248764328
      uff, kamień z serca spadł

  10. Ale w lewym górnym rogu jest podany IMEI naprawianego telefonu.
    Więc to jest już niebezpieczne.

  11. To firma, która wręcz słynie ze stosowania wielce ambitnej naprawy w stylu “full wipe”. Oczywiście problem nie znika.

  12. no i? paranoja included chyba ..

  13. Ten artykuł wygląda jak kryptoreklama Regenersisa.
    Opisywany problem wyolbrzymiony, a ja i wielu innych ludzi dowiedziało się o istnieniu usługi.

    Ile wam zapłacili? ;)

  14. Panie niebezpieczniku :)

    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    bład ? czy specialnie ?

    • rzuć okiem w kod, to się dowiesz ;)

    • to napisałem xd dostane nagrode ? haha xd

    • Nie chce się leniom co roku zmieniać stopki.

  15. “Sprzęt po zalaniu, odmowa naprawy gwarancyjnej, anulowanie gwarancji” :)))) …czyli mój chleb codzienny :)))))

  16. “Regenersis to firma zajmująca się naprawą telefonów” :))) już pierwsze zdanie artykułu wywołało ironiczny uśmiech na mojej twarzy.

  17. warto wspomnieć ze od lipca tego roku poza Mellon Polska,
    Regenersis jest jednym z podwykonawców serwisowych FirstDate
    Polska(dawniej Polcard)

    • @Navigator

      Dobra, ale FDP nie ma komórek a terminale płatnicze. To, co – jak się taki zepsuje to Regenersis twierdzi, że po gwarancji i odmawia naprawy czy jak ? Żaden acquirer z taką firmą by nie współpracował.
      BTW – Meloniki to co najwyżej mogą terminale podłączać u klientów, bo się nie znają na naprawach jakiegokolwiek sprzętu. Nawet Wincor się nie podejmie naprawy terminala (co najwyżej potrafią wymienić).

  18. O rrranny… no i co komu po samym numerze IMEI i zdjęciu rozbitego telefonu? Numery IMEI można zgadywać od ręki, a i tak nic nikomu po nim, jak nie ma więcej danych o telefonie. Naprawdę… większej afery nie było.

  19. A ja do tego serwisu oddałem niegdyś swojego HTC Touch Pro, bo rozłączał się podczas podłączenia przez USB do komputera. W raporcie napisali, że wymieniono płytę główną a problem, jak ręką odjął. Uprzedzając wszelkie pytania -> były zmieniane ROMy na inne i nic nie pomagało. Ruszanie wtyczką USB również nie przynosiło skutków. Czyli ja chyba jestem jakimś rodzynkiem :D

  20. Omijajcie tą firmę z daleka. Naprawiali NOKIĘ e-52 za każdym razem wracała z inną usterką. Po 5 wizytach w Regenersis, telefon wyglądał jak ruina. Podrapali obudowę i wyświetlacz. Po kolejnej reklamacji wymienili obudowę i bebechy. Niestety telefon zaczął przerywać nagrywanie wideo i samoczynnie się ściszał. I tak minęła gwarancja. NOKIA umyła ręce, Regenersis umył ręce, zostałem z bublem

  21. I stronka nie działa, nie mogę sprawdzić statusu naprawy.

  22. Już coś grzebią: http://img203.imageshack.us/img203/4629/e0rr.png

  23. Tak zauważyłem ,że ten telefon na ilustracji to HTC Desire C.Jakby co.Z tym serwisem to jakaś paranoja jak to co piszą inni to prawda.

  24. […] i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzie […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.