9:20
25/4/2018

Aplikacja mobilna ToCoMoje służy do przechowywania paragonów, ale ludzie trzymają w niej także odczyty liczników, faktury i kto wie co jeszcze? Około 1000 “prywatnych” fotografii wykonanych przez użytkowników tej aplikacji jest publicznie dostępnych z powodu niezabezpieczonej instancji S3.

Pliki w ToCoMoje są publiczne

O problemie powiadomił nas Marcin, który pochylił się nad działaniem aplikacji ToCoMoje po tym, jak została ona wycofana z AppStore. Marcin przekonał się, że każdy jest w stanie ściągnąć pliki wysłane przez użytkowników aplikacji gdyż są one dostępne w Amazon Web Services bez żadnych zabezpieczeń.

Najprostszym sposobem na uzyskanie dostępu do zdjęć jest wpisanie do przeglądarki adresu bucketa, odczytanie nazwy plików i ich pobranie. Masowe pobranie danych też nie stanowi problemu. Marcin stworzył skrypty, które pozwalają pobrać listę obiektów AWS S3 i zacząć ściągać zdjęcia. Pobieżnie przejrzeliśmy zawartość. Było w niej ponad tysiąc paragonów, których pliki były modyfikowane w latach 2013-2017 (co oznacza, że były wśród nich paragony wystawione także w 2012 r. a może nawet wcześniej).

Oprócz paragonów były faktury…

…oraz zdjęcia liczników np. tego wodomierza.

Trafiliśmy też na zdjęcia protokołów zdawczo-odbiorczych i dokumentów w nieznanych nam językach. Nie wiemy na ile ujawnienie tego typu plików może dla kogoś stanowić zagrożenie, ale i tak widzimy problem. Użytkownicy ToCoMoje najprawdopodobniej ufają, że zdjęcia fotografowanych przez nich dokumentów są dostępne tylko dla nich. A tak nie jest.

Próbowaliśmy to zgłosić

Nie myślcie, że piszemy o problemie bez uprzednich prób kontaktu z twórcą aplikacji. Najpierw napisaliśmy w tej sprawie na adres mailowy podany w Google Play. Równocześnie próbowaliśmy powiadomić prezesa spółki TCMJ Sp z o.o. pisząc do niego na LinkedIn i Facebooku. Nie dostaliśmy żadnych odpowiedzi. Patrząc na konto aplikacji na Twitterze można uznać, że projekt trochę stracił rozpęd. Ostatnie komentarze na Google Play mówią o “braku wsparcia” dla aplikacji, a niektóre osoby skarżą się, że utraciły dostęp do swoich paragonów lub nie mogą się zalogować po zmianie urządzenia. Niektóre komentarze są z marca tego roku, więc są jeszcze osoby chętne do używania tej aplikacji. Brak chyba tylko ludzi do jej rozwijania.

Swoją drogą, sprawa jest też ciekawa pod kątem RODO. Ujawnienie takiego “wycieku” po 25 maja mogło by być problematyczne. Jeśli więc sami jesteście twórcami jakichś zapomnianych aplikacji, lepiej przejrzyjcie stare serwery i dostępy…

Korzystałem z tej aplikacji — co robić, jak żyć?

Jeśli korzystałeś z aplikacji ToCoMoje, potraktuj swoje dane jako publicznie dostępne — i jeśli z jakiegoś powodu przechowywałeś w aplikacji swojego PIT-a albo zdjęcie dowodu, podejmij odpowiednie kroki. Celowo nie podajemy w artykule adresów instancji S3, ale dla podstawowego programisty pozyskanie tego adresu nie powinno stanowić problemu…

Zła konfiguracja usług Amazona to częsty problem

Nieumiejętne zabezpieczenie przechowywanych w chmurze Amazona plików to częsty problem. W ubiegłym roku pisaliśmy o wycieku danych amerykańskich wyborców z takich właśnie serwerów.

Niestety programiści nie zawsze wiedzą jak poprawnie skorzystać z mechanizmów bezpieczeństwa oferowanych przez Amazon lub przez inne rozwiązania/frameworki pomagające tworzyć webaplikacje. O tym jakich błędów nie popełniać podczas programowania webaplikacji i co zrobić aby niskim kosztem solidnie ją zabezpieczyć mówimy na naszym bestsellerowym 2-dniowym szkoleniu pt. “Atakowanie i Ochrona Webaplikacji” skierowanym do programistów i testerów QA. Najbliższe terminy tego szkolenia to:

  • 14-15 maja, Warszawa | 7 wolnych miejsc
  • 17-18 maja, Kraków | 6 wolnych miejsc
  • 24-25 maja, Gdańsk | 3 wolnych miejsc
  • 18-19 czerwca, Wrocław | 8 wolnych miejsc

a zarejestrować można się na tej stronie!

Szkolenie w 80% składa się z praktycznych labów, podczas których uczestnicy atakują dziurawą aplikację i poznają różne narzędzia pomagające ją lepiej zabezpieczyć. Z tego tematu przeszkoliliśmy już kilkanaście tysięcy (!) osób, a opinie uczestników z ostatnich terminów znajdziecie tutaj.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Czy zdjęcie licznika też jest daną osobową, że zamazaliście jego model?

    • Odbijała się tam tęczówka autora zdjęcia ;)

    • A tak na serio? :) Jakieś dane adresowe czy coś? Jak samo zdjęcie wodomierza wygląda w kwestii RODO?

    • Zamazali wszystko, co umożliwiałoby jakąkolwiek personalizację osoby. Nawet jeśli numer licznika czy numer faktury mnie i Tobie nic nie mówi, to mówi już zarządcy wody lub firmy, które te numery posiadają i łatwo dotrą do konkretnego nazwiska osoby.
      może zabezpieczenie ujawnienia paranoiczne, ale właściwie nic nie kosztowało autora wpisu i miło, że cenzurę zastosował.

    • Instytucje państwowe i tak znajdą co ich. A rzeczy typu numer rejestracyjny auta nie są danymi osobowymi w rozumieniu ustawy ;)

    • O tym, co się może odbijać na zdjęciach można się przekonać wpisując w Guglu:
      zdjęcie czajnika allegro

    • @Jaś Pytalski
      Pewnie nie tylko model, ale także nr seryjny licznika. To coś jak rejestracja samochodu. Niby niedane osobowe, ale kto ma dojścia, ten może. Nigdy nie wiesz kto, bo lista osób z dostępem jest z natury tajna. A wiedzy kto dostęp ma, zwykle nie mają nawet ci, którzy dostęp mają. Paranoja ;) Choć tylko pozornie. Każdy społecznie aktywny ma znajomego (/znajomego), który może coś sprawdzić.

      Zastanawia mnie dlaczego zamazany jest numer seryjny licznika, a nie są zamazane nazwy kolejnych pozycji na prezentowanych fakturach lub paragonach. Statystycznie, to ilu klientów ma taką kolejność cen na rachunkach? Stan licznika to pewnie stan chwilowy, ale reszta prezentowanych dokumentów, to jednoznaczne zarejestrowane w bazach danych podsumowania. Być może na ich kontach w ToCoMoje są również inne treści (także mocno prywatne), więc identyfikacja jest jak najbardziej możliwa.

      Takie czasy. Każdy kto myśli, że w dobie paragonów wysyłanych online na serwery skarbówki uchroni się przed inwigilacją, kupując za gotówkę, jest najczęściej w błędzie. Zwykła analiza bazy danych. Trzy stałe pozycje na paragonach w skali miasta/dzielnicy: humus, wódka czysta, woda mineralna Fiji. OK – kupujesz mniej wyszukane produkty? Zatem wystarczą cztery lub pięć. Raz dasz się zidentyfikować, np. płacąc kartą a cyfrowy odcisk pozostanie w bazie… do czasu, gdy okaże się potrzebny. Zmienisz miasto – przyzwyczajenia pewnie pozostaną.

      Dzisiaj jawnie możemy przeczytać kogo i kiedy przodek poślubił. “Jutro” będzie można przeczytać czym przodek się interesował, co kupował, na kogo zwykle głosował i czy umarł z podania się genetycznej głupocie, czy najnormalniej ze starości. Pozdrowienia dla prawnuków szukających swoich korzeni w początkach XXI wieku.

      Zielonym w tej tematyce polecam zapoznanie się już działającym Chińskim System Zaufania Społecznego. Tenże ma być ostatecznie skomercjalizowany i sprzedawany zainteresowanym. Także rządom. Przede wszystkim rządom.

  2. “i jeśli z jakiegoś powodu przechowywałeś w aplikacji swojego PIT-a albo zdjęcie dowodu, podejmij odpowiednie kroki” – ok, przy dowodzie powinno się go zastrzec, ale jakie są odpowiednie kroki, gdy czyjś PIT trafiłby do internetu?

    • PESEL i adres do roznych celow, kwota przychodu moze sluzyc jako podpis przy skladaniu PITa zakolejny rok, itd.

  3. To dobra okazja, żeby przypomnieć: prywatne rzeczy są prywatne, jeśli znajdują się w Twoich rękach. Z zupełnie niezwiązanych rzeczy: instalacja OwnCloud/NextCloud zajmuje tylko godzinę :P

    • Godzinę? To chyba z wykupieniem VPS’a i wyjściem do sklepu po eliksir wzmocnienia.

    • Z instalacją i konfiguracją PHP :P

  4. Tęczówkę na liczniku zamazaliście, ale adres punktu pomiaru z faktury za wod-kan, ani też ‘potencjalny’ numer telefonu z pola uwagi z faktury na projektor to już można pokazać:)?

    • Dobre dane nie zapłonie szczególnie ten numer telefonu :)

  5. Stopka strony!

    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    na Chrome 65.0.3325.181,

    pozdrawiam :)

    • Witamy nowego czytelnika. :)

  6. > z powodu niezabezpieczonej instancji S3.

    Raczej z powodu publicznie dostępnego dla wszystkich bucketu S3 – miejsca gdzie przechowuje się dane. Jeśli mówimy o S3 jako o usłudze AWS, nie ma tam czegoś takiego jak instancje / maszyny.

  7. Jeśli macie te paragony, to może zwrócicie je osobom, które straciły do nich dostęp? :(

  8. A ja głupi kombinowałem z blaszanym pudełkiem po herbacie z dodatkowym wycięciem na dole. Na górę kładę nowe paragony, a od spodu wyciągam i wyrzucam najstarsze.

  9. To nie pierwszy system, który nie spełnił oczekiwań i twórcy uznali, że trzeba go zaorać. :)

    • Tylko że zaoranie powinno skutkować wyłączeniem całkowitym a nie pozostawieniem aby sobie dryfowało.

  10. A sama strona http://tocomoje.pl/ nie działa.

  11. Dlaczego pisząc ‘”próbowaliśmy powiadomić prezesa spółki TCMJ Sp z o.o.” pominięte zostało nazwisko tegoż prezesa? Tak często się zmienia? Jest tajne? Każdy może sobie sprawdzić? Otóż nie. Nikt nie sprawdzi. A człowiek formalnie za to odpowiedzialny, w przestrzeni publicznej, tradycyjnie pozostanie ukryty za XY%# Sp z o.o.

    Coraz częściej, jak słyszę “zainstaluj naszą aplikację”, widzę cyrograf, którego nawet nie trzeba podpisywać. Znak czasów. Nawet Wólczanka próbuje takową wcisnąć klientom kupującym koszule.

    Czekam na czasy, w których ludzie opowiedziani za wszelkiego rodzaju wycieki będą karani. Łatwo posadzić inżyniera budownictwa lub kierowcę za błąd popełniony na drodze. O programistach nie słyszałem, a skutki ZAWSZE są masowe. Programiści to tylko cześć prostego ludu, którzy po prostu klepią kod za pensję? Podobnie słabo tłumaczyli się żołnierze wermachtu – a do dziś ich rodziny.

    Cyfrowe barbarzyństwo.

    • W KRS sobie sprawdź nazwisko, udziałowców, radę nadzorczą i co tam jeszcze spółka sobie wymyśliła.

  12. “dokumentów w nieznanych nam językach.” – dajcie próbkę, rozpoznamy te mistyczne języki:)

  13. Jesli wiecie o problemie to zgloscie abuse do Amazonu.

  14. WTF ??? :)
    Przecież w myśl zasady “człowiek uczciwy nie ma nic do ukrycia” (tak myśli większość społeczeństwa) wszystko jest OK … więc o co cały ten raban ??? :D

  15. Takie małe spostrzeżenie w temacie reklamy:
    > “[…] przeszkoliliśmy już kilkanaście tysięcy (!) osób, a […]”

    … a efektów coś nie widać. Wciąż jest o czym pisać i ilość problemów tego typu, jak w treści artykułu, zdaje się powiększać, a nie zmniejszać.

    • W sumie dobry pomysł aby zacząć wrzucać artykuły typu success stories, bo poza zgłoszeniami nieprawidłowości sporo naszych absolwentów podsyła też info jak poczynili dobro albo jak to czego się nauczyli uratowało im skórę. A problemów będzie coraz więcej. Bo coraz mocniej się informatyzujemy.

    • Sądząc po tutejszym cenniku, jest to kilkanaście tysięcy BOGATYCH osób, głównie pracowników dużych korporacji. Jednak za szeroko pojętą informatyzację, w tym tworzenie rozmaitych aplikacji przetwarzających wrażliwe dane, biorą się coraz mniejsze firmy a niekiedy nawet studenci i freelancerzy. Chociaż nie można im odmówić ambicji i zdolności, ta część rynku nigdy nie załapie się na tego typu szkolenia.

    • To mogą czytać wiki OWASP, artykuły o bezpieczeństwie albo pytać bardziej doświadczone osoby. To tak samo, jakbym wypuścił na rynek super ładowarkę do telefonu, którą wszyscy kupują, ale nagle się okazuje, że może stanąć w płomieniach po 16h ładowania. Odpowiedzialność jest? Jest. Z jakiegoś powodu freelancerzy i studenci nie projektują i nie sprzedają ładowarek ani samochodów, tylko zakładają do tego celu firmy.

      Poza tym się zgadzam – szkolenia są drogie. Ja z własnej kieszeni nie zapłacę za wejściówkę na taką konferencję (ani na większość innych). Z drugiej strony, PWN Reaktor z nauką Angulara czy czegośtam kosztował 10k…

  16. Jakim kluczem powinny zostać zaszyfrowane prywatne dane przed wysłaniem do chmury – znanym tylko użytkownikowi, czy wygenerowanym przez serwer i przysłanym użytkownikowi? Niestety, najczęściej stosuje się tylko to drugie podejście.

  17. Witam
    A czy jest w takim razie jakaś bezpieczna apka do przechowywania paragonów?

    • Jest, ale jeszcze jej nie napisałem.

  18. Jak wyciągnąć ten adres s3, bo właśnie nie można się zalogować do aplikacji, a chciałem jakoś odzyskać swoje paragony.

  19. Powinna być jakaś stronka, która mówi, jakie aplikacje/usługi szyfrują dane po kliencie, a które nie, ale “apek” jest obecnie za dużo i nie dałoby się ogarnąć nawet 1‰ tych, których normalny człowiek używa.

  20. Komiczne. To tez kwintesnesja glupoty tego stada baranow. Trzymanie wlasnych rachunkow w chmurze – oczywiscie “bezpiecznej” chmurze na “wlasnym” telefonie. Cos pieknego. Na szczescie wczesniej czy pozniej kazdy baran konczy na talerzu. Jak dobrze, ze nie mam na codzien niczego wspolnego z tzw. przecietnymi obywatelami – coz to bylby za koszmar.

  21. Fajną mają stronę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: