21/9/2017
Jeden z naszych Czytelników natknął się dziś na serwis internetowy, który najprawdopodobniej służy Netii do zarządzania przynajmniej niektórymi zgłoszeniami i reklamacjami kierowanymi na call center. Dostęp do systemu nie wymaga logowania — żadne hasła nie są potrzebne, system prosi tylko o podanie dowolnego e-maila w domenie @netia.pl, po czym udostępnia interfejs do zgłaszania “reklamacji”. Niestety, poza zgłoszeniem reklamacji, każdy zgłaszających może też zobaczyć 300 historycznych wpisów w systemie. Niektóre zawierają dane osobowe klientów Netii (imiona, nazwiska, adresy zamieszkania, PESEL-e i numery telefonów) a wszystkie także dane pracownika obsługującego zgłoszenie.
Oto screen systemu nadesłany przez Czytelnika:
Do Netii wysłaliśmy następujące pytania:
1. Do czego służy i kto ma dostęp do serwisu zglos.dtwk.pl?
2. Dlaczego system ten nie posiada żadnego wymogu logowania (podania hasła), skoro widoczne są w nim dane osobowe klientów Netii?
3. Jakie dane na temat klientów pracownicy korzystający z serwisu mogą
umieszczać w tym systemie?
I błyskawicznie otrzymaliśmy następującą wiadomość od PR Managera Netii, Karola Wieczorka:
natychmiast po otrzymaniu sygnału o tej sprawie dostęp do serwisu został zablokowany. Nasze służby wyjaśniają sytuację. Na tę chwilę nie możemy tego szerzej komentować.
Kiedy tylko otrzymamy dalsze informacje w tej sprawie, zaktualizujemy o nie treść artykułu.
Jestem klientem Netii — co robić, jak żyć?
Jeśli w zgłaszałeś usterkę Netii, to w zależności od podanych przez Ciebie danych i tego jak zgłoszenie opisał konsultant, informacje na Twój temat mogły znaleźć się w ww. systemie. Niestety, nie wiemy jak długo system był dostępny online dla każdego, i czy poza konsultantami ktoś nieuprawniony miał w niego stały wgląd.
Pocieszające jest natomiast to, że w przykładowych opisach zgłoszeń, które widzieliśmy, zbyt wielu informacji na temat klientów mimo wszystko konsultanci nie podają. Widać jednak, że priorytetyzują klientów. Zapewne największym “zyskiem” z przejęcia nieautoryzowanego dostępu do tego systemu byłoby zmodyfikowanie swojego zgłoszenia i podbicie sobie priorytetu ;)
To trzeci wyciek danych klientów z Netii
Przypomnijmy, że Netia już 2 razy straciła dane klientów. Za pierwszym razem ataku dokonał Polak, nvm, a za drugim razem atakującymi byli Rosjanie działający pod fałszywą flagą Ukrainy. Rosjanom udało się wykrać co najmniej bazę danych głównego serwisu internetowego Netii. Po tym incydencie, Netia zgodnie z prawem nakładającym na operatorów konieczność informowania klientów o wycieku ich danych, rozesłała SMS-y, które niektórych nieźle przestraszyły. Chwilę później na wykradzione w tym ataku e-maile zaczęły spływać złośliwe e-maile. Miejmy nadzieję, że tym razem sytuacja się nie powtórzy.
Aktualizacja 21.09.2017, 23:00
Ponieważ Netia już zablokowała dostęp do systemu, możemy ujawnić więcej informacji. Osoby wchodzące na stronę noc.dtwk.pl jeszcze dziś witał taki komunikat:
Po przejściu do systemu zglos.dtwk.pl i ponownym wpisaniu e-maila (dowolny w domenie netia.pl), zgłaszający widział:
…i mógł przeglądać ostatnie zgłoszenia.
W kodzie źródłowym natknąć można było się także na dodatkowe URL-e:
Pod powyższą domeną pojawiał się, nieprawdziwy niestety, komunikat:
Dostęp do portalu jedynie z sieci korporacyjnej
$ host dtwk.pl
dtwk.pl has address 81.219.55.202
dtwk.pl mail is handled by 10 fl.netia.pl.
$ host 81.219.55.202
202.55.219.81.in-addr.arpa is an alias for 202.200/29.55.219.81.in-addr.arpa.
202.200/29.55.219.81.in-addr.arpa domain name pointer poczta.fl.netia.pl.
Trzeba przyznać, że cały system jest dość “zabawnie” i “z humorem” zarówno skonstruowany jak i opisany. Zakończmy więc żartem — cytatem jednego z komentujących nasz wpis na Facebooku czytelników, który idealnie podsumowuje ten serwis Netii:
“Jeśli nie ustawisz żadnego hasła, to nikt go nie złamie”
Najwidoczniej ta maksyma przyświecała twórcom…
PS. Gdybyście chcieli dowiedzieć się jak poprawnie zabezpieczyć serwis internetowy (i intranetowy ;) przed atakami, to zapraszamy na nasze szkolenie z Atakowanie i Ochrony Webaplikacji. Najbliższy termin to 27-28 listopada w Krakowie. Jak szkolenie opisują uczestnicy? O tym przeczytacie tutaj.
Aktualizacja 22.09.2017, 20:57
Karol Wieczorek poinformował nas właśnie o nowych ustaleniach w sprawie niniejszego incydentu.
Według naszych wstępnych ustaleń, rzekoma luka w dostępie do wewnętrznej aplikacji – wspierającej pracę konsultantów pomocy technicznej – była wynikiem celowego działania zidentyfikowanej już przez nas osoby (były pracownik, z którym kilka miesięcy temu rozwiązaliśmy umowę o pracę).
Wedle Netii, osoba ta prawdopodobnie celowo zmieniła konfigurację serwera umożliwiając dostęp do aplikacji z internetu. Netia przekazała dane potencjalnego sprawcy oragnom ścigania wraz z zawiadomieniem o popełnieniu przestępstwa. Firma wciąż analizuje także sam incydent i informuje iż:
w zaledwie części, widocznych przez krótki okres czasu, rekordów znajdowały się dane pozwalające na zidentyfikowanie konkretnej osoby. (…) Trzeba przy tym podkreślić, że do wskazanej aplikacji można się było dostać wyłącznie znając konkretny, specyficzny URL a wyszukiwarki internetowe nie indeksowały jej w kontekście naszej firmy.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
TO BEZPIECZNA FIRMA HO HO
To wyglada jak lista zgłoszeń z systemu helpdesk.
Z tekstów można wywnioskować ze biuro obsługi klienta ew. handlowcy eskalują nie rozwiązane problemy, za dużo w nich firmowego bełkotu.
To taka widać prowokacja. Pewnie za dużo zgłoszeń serwisowych mieli to odwalili takie coś z podprogowym hasłem “nie zgłaszajcie to wam nic nie wycieknie” :P
Jeszcze mieli Zgłaszaczkę :D Nawet podgląd w cache google się zachował.
https://imgur.com/NK7XHbO
To ciekawe, którą miałem kategorię eskalacji, skoro dzwoniłem do nich praktycznie codziennie w czasie gdy przez ok 10 dni nie mieliśmy w ogóle telefonów w firmie – “Klient wkuhwiony?”
ful profi serwisy widze.
“piernik” i “ciastko upieczone” :D
WTF?
Programiści i koderzy to ludzie z humorem, wbrew obiegowej opinii…
A że ich humor jest inny, to inna sprawa.
42.
Kiedyś pracowałem w Netii i jako pracownik używałem wielu stron w domenie *.dtwk.pl… Byłem świecie przekonany, że działają one w intranecie i nie ma do nich dostępu z zewnątrz…
Strony były używane do różnych rzeczy, m. In. Do zgłaszania awarii, gdy aplikacja do obsługi zgłoszeń się wysypywała, ale było to już prawie 5 lat temu…
Dtwk to departament technicznego wsparcia klienta, dostęp do niego maja w intranecie pracownicy pierwszej i drugiej lini na infolinii. Dziwne, ze serwis jest dostępny z zewnątrz, może ustawienia firewalla, chociaż dobrze wiemy, ze administratorzy IT robią różne triki żeby się im łatwiej zarządzało np podczas dyżurów nocnych ;)
To juz kolejny przypadek, ktory opisujecie i “oczywiscie” tak naprawde nic sie nie dzieje — nie ma winnego, nie ma odpowiedzialnosci, po prostu “sorrka, kazdemu moze sie zdarzyc”.
GIODO oczywiscie takze spi, bo to taki bardzo potrzebny urzad.
No, ale niech sie klient w czyms kropnie, to ruski miesiac popamieta, bo “twarde prawo, ale prawo” i “trzeba znac przepisy”. Fajnie jest…
Głębokie ukrycie…
Jestem bardzo ciekaw jak sytuacja będzie wyglądać po 28 maja, kiedy w życie wejdzie RODO. O ile ZUS, US czy inne podmioty publiczne mają “niskie” kary o tyle prywatni przedsiębiorcy po jednym wycieku będą bankrutować. Z drugiej strony o RODO wiadomo już od 2 lat, więc każdy mógł się przygotować.
Chyba pracownik, który udostępnił te dane zapomniał o klauzuli poufności, która podpisywał…żałosne. I po co???
Wygląda jak incydent Shadow IT. W PL nie przypominam sobie nic głośnego ostatnio w tym temacie.
noc.dtwk.pl. Ta noc brzmi jak głębokie ukrycie. Jest równie ciemno, ale podczarwień pomaga.
“Według naszych wstępnych ustaleń, rzekoma luka w dostępie do wewnętrznej aplikacji – wspierającej pracę konsultantów pomocy technicznej – była wynikiem celowego działania zidentyfikowanej już przez nas osoby (były pracownik, z którym kilka miesięcy temu rozwiązaliśmy umowę o pracę).” – ale bujda na resorach. Dostęp do tego od zawsze tak wyglądał. Pracowałem w Netii na HD jakieś 5 lat temu było to możliwe już wtedy.
Chyba nawet pisałem kiedyś do redakcji N w tej sprawie.
“Wedle Netii, osoba ta prawdopodobnie celowo zmieniła konfigurację serwera umożliwiając dostęp do aplikacji z internetu.”
Niezłe muszą być warunki w firmie, że pracownikom w ogóle przychodzi do głowy chęć zemsty.
Dla mnie to zwykłe zrzucenie odpowiedzialności na kozła ofiarnego, przecież nikt tego nie zweryfikuje.