13:29
11/10/2013

Regenersis to firma zajmująca się naprawą telefonów. Po przyjęciu zepsutego sprzętu, pracownicy firmy robią mu zdjęcie i umieszczają je w sieci w taki sposób, że jest dostępne dla każdego, kto zna identyfikator. Niestety oprócz zdjęć, w ten sam sposób, tj. bez żadnego uwierzytelnienia, serwis udostępnia udostępniał w internecie dokumentację zawierającą dane klientów.

Strona Regenersis posiada wyszukiwarkę, przy pomocy której można sprawdzić status zlecenia. Należy podać IMEI urządzenia, a w odpowiedzi otrzymamy m.in. link do zdjęcia.

http://regenersis.pl/Photo.aspx?ID=[numer]&DB=[typ]

Typ, np.: HTCPRO, SAMPRO

Dostępu do zdjęć nie zabezpieczają żadne jednorazowe/tymczasowe/nieprzewidywalne tokeny, a więc enumerując ID można uzyskać dostęp do danych innych klientów.

To klasyczny problem wielu webaplikacji generujących masowo faktury. Przejrzyjcie swoje skrzynki e-mail pod kątem faktur “do ściągnięcia z internetu” w PDF. Często zmiana ID w linku spowoduje pokazanie danych innego abonenta danej usługi.

Firma Regenersis informuje na swojej stronie, że zdjęcia sprzętu dostępne są tylko przez 2 tygodnie, jednak przykładowe zdjęcie podesłane nam przez jednego z czytelników, zwraca datę sprzed miesiąca…

Przykładowe zdjęcie zepsutego sprzętu

Przykładowe zdjęcie zepsutego sprzętu, ciągle dostępne

Wykonany dziś rano test, polegający na dostępie do podesłanych przez czytelników URL-i, nie potwierdził jednak, że Regenersis wciąż udostępnia dane klientów online. Do wczoraj jednak dane takie miały być dostępne, co potwierdzają zarówno nasi czytelnicy, jak i “antyfanpage” Regenersis. Obecnie, dla niektórych z identyfikatorów (zapewne tych z fakturami/dokumentami) serwis zaczął zwracać komunikat błędu:

Komunikat błędu

Komunikat błędu

Wysłaliśmy w powyższej sprawie pytania do Regenersis, w momencie otrzymania odpowiedzi zaktualizujemy artykuł.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. A tutaj mamy zdjęcie z maja 2013r. -> http://www.regenersis.pl/Photo.aspx?ID=1111131&DB=HTCPRO

  2. Przydałby się jeszcze numer konta, telefon, mail i inne ciekawe rzeczy :P

  3. Wchodzę na ten “antyfanpage” i są linki, które dalej są dostępne dla wszystkich: http://www.regenersis.pl/Photo.aspx?ID=1245280&DB=HTCPRO

    Zastanawiam się czy do nich nie napisać proponując za jakieś 500zł zabezpieczenia tego :)

  4. Błąd w pierwszym zdaniu, Regenersis jest firmą stwierdzającą unieważnienie gwarancji telefonu – i nie chodzi bynajmniej tu o zbitą szybę/ ekran dotykowy, ale o wady ukryte sprzętu.

  5. “Wykonany dziś rano test… ” – to jak to wygląda prawnie z tymi niechcianymi testami ?

    • Ostatnio była nawet taka sprawa w sądzie: jakaś gazeta umieszczała pod przewidywalnym urlem następną okładkę, koś to zgadł i pobrał. Generalnie chcieli go pozwać o złamanie zabezpieczeń. Sąd uznał że by złamać zabezpieczenia takowe muszą być obecne.

    • @SebaVegas: “polegający na dostępie do podesłanych przez czytelników URL-i”. Jak ktoś im podsyła URL i oni w niego klikają, żeby sprawdzić zawartość to nie łamią prawa. Prawo złamaliby próbując SQL injection (z sukcesem) lub obciążając serwer ruchem, który spowodowałby uniemożliwienie innym klientom dostępu do usługi.

    • “Prawo złamaliby próbując SQL injection (z sukcesem)” – nie do końca.

      “\”Nie można przełamać czegoś, co nie istnieje\” – polski wyrok w sprawie SQL Injection”
      http://prawo.vagla.pl/node/8154

    • Krzysiu: zwróć uwagę, że od 2008 była nowelizacja i 267
      brzmi inaczej…

  6. O. Z niebezpiecznika zaczyna sie robic pwned gallery? Srsly, nie dzieje sie nic ciekawszego od dziurawego systemu “jakiejs” firmy uslugowej?

    • “Gallery” to moim zdaniem nie jest. Nakreślają istotę problemu, a nie tylko dają znać o uzyskaniu nieautoryzowanego dostępu.

    • Wlasnie … a co z problemami WhatsApp i szyfrowanie
      wiadomosci? Metasploit i Fax?

    • Metasploit wisi po prawej, a whatsapp chyba niezbyt popularny w pl…

    • Ja korzystam z WhatsApp i moi znajomi również :)

  7. Rano ok godz. 9 można było jeszcze wszystko oglądać bez problemu.

  8. a tu mamy z marca
    http://www.regenersis.pl/Photo.aspx?ID=1011131&DB=HTCPRO

  9. Fakt że sama taka możliwość za dobrze o firmie nie świadczy, ale zdjęcie czyjegoś uszkodzonego telefonu nie wydaje mi się informacją która koniecznie powinna być chroniona…

    • Nie są tam tylko zdjęcia uszkodzonych telefonów. Są również zdjęcia protokołów, faktur i innych rzeczy, które posiadają dużą część danych osobowych takich jak imię, nazwisko, adres, numer telefonu etc. Wyobraź sobie teraz do jakich rzeczy te dane można wykorzystać.

    • Zdjęcie to nie problem ale tam były dane klientów a to już jest problem.

    • czyli jednak można mieć hasło typu ‘ or 2396328762348763248764328=2396328762348763248764328
      uff, kamień z serca spadł

  10. Ale w lewym górnym rogu jest podany IMEI naprawianego telefonu.
    Więc to jest już niebezpieczne.

  11. To firma, która wręcz słynie ze stosowania wielce ambitnej naprawy w stylu “full wipe”. Oczywiście problem nie znika.

  12. no i? paranoja included chyba ..

  13. Ten artykuł wygląda jak kryptoreklama Regenersisa.
    Opisywany problem wyolbrzymiony, a ja i wielu innych ludzi dowiedziało się o istnieniu usługi.

    Ile wam zapłacili? ;)

  14. Panie niebezpieczniku :)

    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    bład ? czy specialnie ?

    • rzuć okiem w kod, to się dowiesz ;)

    • to napisałem xd dostane nagrode ? haha xd

    • Nie chce się leniom co roku zmieniać stopki.

  15. “Sprzęt po zalaniu, odmowa naprawy gwarancyjnej, anulowanie gwarancji” :)))) …czyli mój chleb codzienny :)))))

  16. “Regenersis to firma zajmująca się naprawą telefonów” :))) już pierwsze zdanie artykułu wywołało ironiczny uśmiech na mojej twarzy.

  17. warto wspomnieć ze od lipca tego roku poza Mellon Polska,
    Regenersis jest jednym z podwykonawców serwisowych FirstDate
    Polska(dawniej Polcard)

    • @Navigator

      Dobra, ale FDP nie ma komórek a terminale płatnicze. To, co – jak się taki zepsuje to Regenersis twierdzi, że po gwarancji i odmawia naprawy czy jak ? Żaden acquirer z taką firmą by nie współpracował.
      BTW – Meloniki to co najwyżej mogą terminale podłączać u klientów, bo się nie znają na naprawach jakiegokolwiek sprzętu. Nawet Wincor się nie podejmie naprawy terminala (co najwyżej potrafią wymienić).

  18. O rrranny… no i co komu po samym numerze IMEI i zdjęciu rozbitego telefonu? Numery IMEI można zgadywać od ręki, a i tak nic nikomu po nim, jak nie ma więcej danych o telefonie. Naprawdę… większej afery nie było.

  19. A ja do tego serwisu oddałem niegdyś swojego HTC Touch Pro, bo rozłączał się podczas podłączenia przez USB do komputera. W raporcie napisali, że wymieniono płytę główną a problem, jak ręką odjął. Uprzedzając wszelkie pytania -> były zmieniane ROMy na inne i nic nie pomagało. Ruszanie wtyczką USB również nie przynosiło skutków. Czyli ja chyba jestem jakimś rodzynkiem :D

  20. Omijajcie tą firmę z daleka. Naprawiali NOKIĘ e-52 za każdym razem wracała z inną usterką. Po 5 wizytach w Regenersis, telefon wyglądał jak ruina. Podrapali obudowę i wyświetlacz. Po kolejnej reklamacji wymienili obudowę i bebechy. Niestety telefon zaczął przerywać nagrywanie wideo i samoczynnie się ściszał. I tak minęła gwarancja. NOKIA umyła ręce, Regenersis umył ręce, zostałem z bublem

  21. I stronka nie działa, nie mogę sprawdzić statusu naprawy.

  22. Już coś grzebią: http://img203.imageshack.us/img203/4629/e0rr.png

  23. Tak zauważyłem ,że ten telefon na ilustracji to HTC Desire C.Jakby co.Z tym serwisem to jakaś paranoja jak to co piszą inni to prawda.

  24. […] i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzie […]

Odpowiadasz na komentarz Pioe

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: