11/10/2013
Regenersis to firma zajmująca się naprawą telefonów. Po przyjęciu zepsutego sprzętu, pracownicy firmy robią mu zdjęcie i umieszczają je w sieci w taki sposób, że jest dostępne dla każdego, kto zna identyfikator. Niestety oprócz zdjęć, w ten sam sposób, tj. bez żadnego uwierzytelnienia, serwis udostępnia udostępniał w internecie dokumentację zawierającą dane klientów.
Strona Regenersis posiada wyszukiwarkę, przy pomocy której można sprawdzić status zlecenia. Należy podać IMEI urządzenia, a w odpowiedzi otrzymamy m.in. link do zdjęcia.
http://regenersis.pl/Photo.aspx?ID=[numer]&DB=[typ]
Typ, np.: HTCPRO, SAMPRO
Dostępu do zdjęć nie zabezpieczają żadne jednorazowe/tymczasowe/nieprzewidywalne tokeny, a więc enumerując ID można uzyskać dostęp do danych innych klientów.
Firma Regenersis informuje na swojej stronie, że zdjęcia sprzętu dostępne są tylko przez 2 tygodnie, jednak przykładowe zdjęcie podesłane nam przez jednego z czytelników, zwraca datę sprzed miesiąca…
Wykonany dziś rano test, polegający na dostępie do podesłanych przez czytelników URL-i, nie potwierdził jednak, że Regenersis wciąż udostępnia dane klientów online. Do wczoraj jednak dane takie miały być dostępne, co potwierdzają zarówno nasi czytelnicy, jak i “antyfanpage” Regenersis. Obecnie, dla niektórych z identyfikatorów (zapewne tych z fakturami/dokumentami) serwis zaczął zwracać komunikat błędu:
Wysłaliśmy w powyższej sprawie pytania do Regenersis, w momencie otrzymania odpowiedzi zaktualizujemy artykuł.
A tutaj mamy zdjęcie z maja 2013r. -> http://www.regenersis.pl/Photo.aspx?ID=1111131&DB=HTCPRO
Przydałby się jeszcze numer konta, telefon, mail i inne ciekawe rzeczy :P
Wchodzę na ten “antyfanpage” i są linki, które dalej są dostępne dla wszystkich: http://www.regenersis.pl/Photo.aspx?ID=1245280&DB=HTCPRO
Zastanawiam się czy do nich nie napisać proponując za jakieś 500zł zabezpieczenia tego :)
Błąd w pierwszym zdaniu, Regenersis jest firmą stwierdzającą unieważnienie gwarancji telefonu – i nie chodzi bynajmniej tu o zbitą szybę/ ekran dotykowy, ale o wady ukryte sprzętu.
“Wykonany dziś rano test… ” – to jak to wygląda prawnie z tymi niechcianymi testami ?
Ostatnio była nawet taka sprawa w sądzie: jakaś gazeta umieszczała pod przewidywalnym urlem następną okładkę, koś to zgadł i pobrał. Generalnie chcieli go pozwać o złamanie zabezpieczeń. Sąd uznał że by złamać zabezpieczenia takowe muszą być obecne.
@SebaVegas: “polegający na dostępie do podesłanych przez czytelników URL-i”. Jak ktoś im podsyła URL i oni w niego klikają, żeby sprawdzić zawartość to nie łamią prawa. Prawo złamaliby próbując SQL injection (z sukcesem) lub obciążając serwer ruchem, który spowodowałby uniemożliwienie innym klientom dostępu do usługi.
“Prawo złamaliby próbując SQL injection (z sukcesem)” – nie do końca.
“\”Nie można przełamać czegoś, co nie istnieje\” – polski wyrok w sprawie SQL Injection”
http://prawo.vagla.pl/node/8154
Krzysiu: zwróć uwagę, że od 2008 była nowelizacja i 267
brzmi inaczej…
O. Z niebezpiecznika zaczyna sie robic pwned gallery? Srsly, nie dzieje sie nic ciekawszego od dziurawego systemu “jakiejs” firmy uslugowej?
“Gallery” to moim zdaniem nie jest. Nakreślają istotę problemu, a nie tylko dają znać o uzyskaniu nieautoryzowanego dostępu.
Wlasnie … a co z problemami WhatsApp i szyfrowanie
wiadomosci? Metasploit i Fax?
Metasploit wisi po prawej, a whatsapp chyba niezbyt popularny w pl…
Ja korzystam z WhatsApp i moi znajomi również :)
Rano ok godz. 9 można było jeszcze wszystko oglądać bez problemu.
a tu mamy z marca
http://www.regenersis.pl/Photo.aspx?ID=1011131&DB=HTCPRO
Fakt że sama taka możliwość za dobrze o firmie nie świadczy, ale zdjęcie czyjegoś uszkodzonego telefonu nie wydaje mi się informacją która koniecznie powinna być chroniona…
Nie są tam tylko zdjęcia uszkodzonych telefonów. Są również zdjęcia protokołów, faktur i innych rzeczy, które posiadają dużą część danych osobowych takich jak imię, nazwisko, adres, numer telefonu etc. Wyobraź sobie teraz do jakich rzeczy te dane można wykorzystać.
Zdjęcie to nie problem ale tam były dane klientów a to już jest problem.
czyli jednak można mieć hasło typu ‘ or 2396328762348763248764328=2396328762348763248764328
uff, kamień z serca spadł
Ale w lewym górnym rogu jest podany IMEI naprawianego telefonu.
Więc to jest już niebezpieczne.
To firma, która wręcz słynie ze stosowania wielce ambitnej naprawy w stylu “full wipe”. Oczywiście problem nie znika.
http://komorkomania.pl/2012/12/16/wymien-zawieszajacy-sie-telefon-na-calkowicie-niesprawny-final-sprawy
no i? paranoja included chyba ..
http://www.regenersis.pl/Photo.aspx?ID=1241690&DB=HTCPRO 7.10.2013
Ten artykuł wygląda jak kryptoreklama Regenersisa.
Opisywany problem wyolbrzymiony, a ja i wielu innych ludzi dowiedziało się o istnieniu usługi.
Ile wam zapłacili? ;)
Panie niebezpieczniku :)
Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);
bład ? czy specialnie ?
rzuć okiem w kod, to się dowiesz ;)
to napisałem xd dostane nagrode ? haha xd
Nie chce się leniom co roku zmieniać stopki.
“Sprzęt po zalaniu, odmowa naprawy gwarancyjnej, anulowanie gwarancji” :)))) …czyli mój chleb codzienny :)))))
“Regenersis to firma zajmująca się naprawą telefonów” :))) już pierwsze zdanie artykułu wywołało ironiczny uśmiech na mojej twarzy.
warto wspomnieć ze od lipca tego roku poza Mellon Polska,
Regenersis jest jednym z podwykonawców serwisowych FirstDate
Polska(dawniej Polcard)
@Navigator
Dobra, ale FDP nie ma komórek a terminale płatnicze. To, co – jak się taki zepsuje to Regenersis twierdzi, że po gwarancji i odmawia naprawy czy jak ? Żaden acquirer z taką firmą by nie współpracował.
BTW – Meloniki to co najwyżej mogą terminale podłączać u klientów, bo się nie znają na naprawach jakiegokolwiek sprzętu. Nawet Wincor się nie podejmie naprawy terminala (co najwyżej potrafią wymienić).
O rrranny… no i co komu po samym numerze IMEI i zdjęciu rozbitego telefonu? Numery IMEI można zgadywać od ręki, a i tak nic nikomu po nim, jak nie ma więcej danych o telefonie. Naprawdę… większej afery nie było.
A ja do tego serwisu oddałem niegdyś swojego HTC Touch Pro, bo rozłączał się podczas podłączenia przez USB do komputera. W raporcie napisali, że wymieniono płytę główną a problem, jak ręką odjął. Uprzedzając wszelkie pytania -> były zmieniane ROMy na inne i nic nie pomagało. Ruszanie wtyczką USB również nie przynosiło skutków. Czyli ja chyba jestem jakimś rodzynkiem :D
Omijajcie tą firmę z daleka. Naprawiali NOKIĘ e-52 za każdym razem wracała z inną usterką. Po 5 wizytach w Regenersis, telefon wyglądał jak ruina. Podrapali obudowę i wyświetlacz. Po kolejnej reklamacji wymienili obudowę i bebechy. Niestety telefon zaczął przerywać nagrywanie wideo i samoczynnie się ściszał. I tak minęła gwarancja. NOKIA umyła ręce, Regenersis umył ręce, zostałem z bublem
Działa dalej:
http://regenersis.pl/Photo.aspx?ID=179931&DB=APPRO
http://regenersis.pl/Photo.aspx?ID=181306&DB=APPRO
http://regenersis.pl/Photo.aspx?ID=3992904&DB=SAMPRO
http://regenersis.pl/Photo.aspx?ID=3992903&DB=SAMPRO
Jakie stare zdjęcia…
I stronka nie działa, nie mogę sprawdzić statusu naprawy.
Już coś grzebią: http://img203.imageshack.us/img203/4629/e0rr.png
Tak zauważyłem ,że ten telefon na ilustracji to HTC Desire C.Jakby co.Z tym serwisem to jakaś paranoja jak to co piszą inni to prawda.
[…] i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzie […]