15:19
13/9/2016

Advertisement

Otrzymujemy sygnały, że wielu klientów operatora VoIP zostało okradzionych. Ktoś wydzwonił ich salda na zagraniczne numery. EasyCall wie o problemie, ale nie informuje swoich klientów o tym co dokładnie się stało. Mało tego, firma wymusiła reset haseł klientów, co sprawiło, że telefony niektórych zostały wylogowane z sieci i nie da się do nich dodzwonić…

unnamed-9

Jak pisze jeden z naszych czytelników:

Dziś otrzymałem informację od klienta że nie można się do mnie dodzwonić. Zalogowałem się do panelu abonenta i okazało się że 12/09/2016 operator zmienił mi hasło SIP (nie podano przyczyny zmiany hasła SIP), po zajrzeniu w bilingi okazało się że całe konto jest wyzerowane rozmowami na komórkę w Algierii. Reklamację złożyłem, czekam na odpowiedź – ciekawe czy tylko mnie to spotkało czy easycall miał włam i wyzerowano więcej kont.

Niestety, wszystko wskazuje na to, że obawy naszego czytelnika co do wyzerowania kont innych abonentów są uzasadnione. Bo jak piszę kolejny z czytelników:

Wyciekły hasła do VOIP bramka Easycall.pl w piątek ktoś z mojego konta dzwonił na numer +261 200 210 174 wydzwonił 7,05zł w systemie jest baza abonencka wraz z numerem pesel i nr dowodu osobistego dzisiaj logując się na koncie można ujrzeć taki komunikat:

“Informujemy, iż w dniu 12.09.2016 hasła dostępowe do konta SIP (parametr SIP Hasło) uległy zmianie. Prosimy o wprowadzenie zmian w konfiguracjach urządzeń końcowych lub aplikacjach za pośrednictwem, których korzystają Państwo z usługi. Przepraszamy za niedogodności.”

unnamed-2

EasyCALL, jak widać wymusił reset haseł, ale w komunikacie na stronie nie wskazuje powodu tego resetu. To sugeruje, że nie wszyscy z klientów zostali bezpośrednio poszkodowani w wyniku tego incydentu. Pytanie tylko czy dlatego, że ich danych atakującym nie udało się pozyskać, czy może dlatego, że atakujący jeszcze nie zdążyli im wydzwonić minut?

Przez kilka dni firma nie zauważyła fałszywych połączeń

Po e-mailu trzeciego z czytelników można przypuszczać, że problemy (ataki?) zaczęły się jeszcze przed weekendem, a monitoring połączeń EasyCall — jeśli istnieje — nie wychwycił wzrostu ruchu zagranicznego.

Z kont prepaid klientów od 09.09 znikają pieniądze a w billingach widnieją połączenia do Algierii i Madagaskaru. Z mojego konta wsiąkło 400 zł. Z kilku pozostałych po 40 / 50 zł – bo tylko tyle było.

Easycall w pierwotnym kontakcie udaje “głupiego” i prosi o zgłoszenie sprawy na policję , dopiero po udowodnieniu, że na kilku kontach dzieje się to samo przyznają się do naruszenia integralnosci systemów i obiecują zwrot środków .
Nie są w stanie stwierdzić jakie dane wyciekły.

Ostrzezcie użytkowników , co by zmieniali hasła i sprawdzali swoje konta czy nie ma na nich dziwnych połączeń do egzotycznych kierunków .

unnamed-10

A może nie było żadnego wycieku?

Jeden z czytelników zwrócił nam uwagę, że loginy i hasła do EasyCALL mają bardzo łatwy do przewidzenia (i “złamania”) format. Zarówno loginem jak i hasłem (przynajmniej do tej pory) był jedynie 6 znakowy ciąg numeryczny.

Można więc sobie wyobrazić, że ktoś po prostu enumerował kolejne loginy i próbował kolejne hasła, od 000000 do 999999, co nie jest ani skomplikowaną ani długą operacją, chyba że EasyCALL posiadało jakąś formę ochrony przed atakami zgadywania haseł. Czy tak było? Miejmy nadzieję, że nie, bo to paradoksalnie lepiej dla klientów. Wtedy można założyć, że nikt nie uzyskał nieautoryzowanego dostępu do bazy danych serwisu zawierającej poza hasłami także inne informacje na temat użytkowników.

Oświadczenie EasyCALL

O to, jak atakującym udało się pozyskać hasła klientów i czy poza hasłami wykradziono także skany dowodów (które jak twierdzi jeden z czytelników posiada operator) zapytaliśmy przedstawiciela EasyCALL. I chociaż biuro prasowe firmy zawierało treści sugerujące, że odpowiedzi szybko nie dostaniemy:

unnamed-20

…to mimo to odpowiedź nadeszła błyskawicznie, a udzielił jej Michał Jakubowski:

Potwierdzam, że część Klientów faktycznie miała problem z włamaniami na swoje
konta z uwagi na słabe hasła (z tego co zweryfikowaliśmy, zostały one złamane metodą brute force) co skutkowało wykonaniem z nich nieautoryzowanych połączeń.

Z uwagi na niewielką skalę podjęliśmy decyzję, aby dla dobra Klientów pokryć te straty (zwracając środki na konta Klientów) oraz – profilaktycznie – zmienić hasła użytkowników na silniejsze.

Z analizy ataku (sposobu jego przeprowadzenia) wynika, że żadne inne dane nie zostały wykradzione (w szczególności, że dane dot. logowania do usługi są inne, niż dane do logowania na stronie WWW, która daje dostęp do danych osobowych; dane osobowe przechowywane są również w innych systemach informatycznych niż te, które dają dostęp do usług telekomunikacyjnych).

Szacujemy, że liczba kont, których dotyczy problem to ok. 500.

A więc firma potwierdza, że dostęp do kont klientów uzyskano poprzez złamanie ich haseł. Skala ataku pokazuje, że serwery EasyCALL przyjąć musiały sporo błędnych prób logowania, a czas reakcji sugeruje, że nie chyba nie zostało to od razu zauważone… Należy się jednak cieszyć, że obecnie polityka haseł użytkowników jest lepsza.

Wracając do polityki haseł, EasyCALL twierdzi że

“część Klientów faktycznie miała problem z włamaniami na swoje konta z uwagi na słabe hasła”

…ale tu warto przypomnieć, że to EasyCALL nadał im takie “słabe hasła” i nie wymuszał ich zmiany.

Jestem klientem EasyCALL — co robić, jak żyć?

W międzyczasie, jeśli jesteście klientami tego operatora VoIP, to sprawdźcie swoje salda i zmieńcie ustawienia swoich softphonów/centralek, bo obecnie nie są zalogowane do sieci (ze względu na reset haseł) i z tego powodu wasi kontrahenci lub znajomi nie są w stanie się do was dodzwonić.

Jeśli odkryjecie podejrzane połączenia — zgłaszajcie to do EasyCALL — przynajmniej jednemu z naszych czytelników środki zostały zwrócone.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Pytanie. Co atakującemu daje dzwonienie na jakieś abstrakcyjne numery? Wpierw tworzą/uzyskują numer, który jest na zasadach premium, że kasa im w jakiejś części się zwraca ?

    • również jestem ciekaw, ktoś zna odpowiedź ?

    • Możliwe, że połączenia były na założony wcześniej numer premium – 40 kilka % wydzwonionych środków idzie do właściciela. Kiedyś był to popularny myk z kartami prepaid, na których w ramach promocji było na początku więcej pieniędzy, niż kosztował zakup

    • Sprzedaje się imigrantom. Idzą do dzielnicy imigranckiej i oferują tanie połączenia do rodziny w domu… i oni dzwonią na koszt jakiegoś pechowca a wielki chakier kasuje jescze w gotówce.

      Podobnie kiedyś jednego z klientów mojej byłej firmy zrobiono na ładnych parę tysięcy za połączenia do Wietnamu… klient nie prowadził interesów w Wietnamie.

    • Witam, jako że to moja branża:

      Za tego typu ataki odpowiadają zorganizowane grupy, aktualnie najsilniejsza koordynuje je z Palestyny, ale atakujace serwery są rozsiane po całej europie. I działa to tak, legalna najczęściej firma tworzy hurtowy VoIP business, zdobywa legalną linię A-Z (do wszystkich krajów) i oferuje mniejszym dostawcom podpięcie się. Więc taki pan Ahmed z UAE wysyła połączenia swoich klientów do Algerii na serwer zbiorczy grupy, który to forwarduje je dalej, np do France Telecom albo innego providera i zyskuje ~1 cent marży na minucie…. chyba że akurat sieć bruteforsowa grupy złamała jakiś sip server, wtedy natychmiast cały ruch leci na złamane konta SIP, w ten sposób grupa zarabia nie 1 cent marży na minucie, ale 30 centów.

    • Może jakieś numery premium i osoba, która wykradła jest powiązana z ich właścicielem

  2. Prawie się domyśliłeś.

  3. Co za pi*dowaci admini tam pracuja, przeciez to mozna bylo zabezpieczyc nawet fail2banem…

  4. zepsuliście biuroprasowe.easycall.pl – teraz zwraca 404 na wszystkie wyniki z gugla :D

  5. Sąsiadce teń wyczyścili konto połączebi do Chin. Nie wiem jaki to był operator ale kasy nie zwrócili.
    PS Dzisiaj się dowiedziałem, ze dotpay wymaga przy rejestracji nr dowodu, peselu i skanu obu stron dowodu.

  6. Owszem firma Easycall może zrobiła coś w kierunku zabezpieczenia serwerów SIP, ale zmiana haseł i ukazywanie ich w sposób jawnego, otwartego tekstu w panelu użytkownika to raczej totalny brak wyobraźni niż działanie w celu zabezpieczenia. Po prostu klient loguje się do panelu i swój identyfikator widzi w sposób: login 127776 twoje hasło awaWWE7 (dane przykładowe, ale w ten właśnie sposób to działa.

  7. “Jestem klientem EasyCALL — co robić, jak żyć?”
    Przestać być ich klientem :D
    Kiedyś ludzie żyli bez telefonów i dobrze było a teraz ? Szkoda pisać , ręce opadają :(

    • Daj mu rękę a pociągnie ci całą nogę.

      To jest piramida na patelni zbudowana z karmlu.

  8. Możliwe, że te 500 osób miało hasła już z początku słownika, np. 123456

  9. Nie mam słów. Oczywiście, że mają monitoring połączeń, każdy system billingowy do voipów ma monitoring połączeń. Na pewno mają też logi nieudanych prób rejestracji, to że nie mieli fail2bana albo honeypota albo obu świadczy o administracji firmy niebyt dobrze, o polityce haseł nawet nie chce mi się mówić, bo nieodpowiedzialność jeśli o to chodzi to niestety branżowy standard.

    Innymi słowy: VoIPy to wietnam, głównie przez kraje w których są najpopularniejsze (Pakistan, kraje bliskiego wschodu, Indie) i wiążącą się z ich “specjalistami IT” jakością zabezpieczeń, ataki na serwery to codzienność, aż dziw że dopiero teraz taka akcja, serwer VoIP powinien być twierdzą inaczej włam to kwestia czasu.

  10. Początek pasuje do zwykłego numeru telefonu mobilnego (sieć Orascom/Djezzy). Scenariusz jaki podał @Jakub jest najbardziej prawdopodobny. Nic nie wskazuje na numer premium, bo one mają cenę 50zł za minutę połączenia a nie 1,70zł.

  11. Wszystko ładnie, pięknie ale po pierwsze jak napisano to easycall nadał takie hasła, po drugie czy aby nie jest tak żeby skorzystać z konta SIP trzeba było w jakiś sposób wylogować zalogowane centralki, ewentualnie istniało zdublowane zalogowanie klientów z różnych IP – i nikt tego nie kontroluje ?? Easycall ewidentnie dał ciała, zresztą nie pierwszy raz, to już 3 raz w ciągu 6 lat jak okradziono mi konto u nich, sam nie wiem czemu jeszcze korzystam z ich usług.

  12. Mnie też oskubano na 40 zł. Napisałem przez stronę easycall i zwrócili:) Wiadomo, ze zmienili hasło, ale jest teź opcja “zmień hasło sip” i upss owszem zmienisz ale nie na swoje

  13. Na pierwszy rzut oka, mamy dodatkowo naruszenie art. 174a prawa telekomunikacyjnego. Operator powinien był w ciągu 3 dni zawiadomić GIODO (być może powiadomił) i abonenta lub użytkownika końcowego (z treści rozumiem, że nie powiadomił), którego dotyczy naruszenie bezpieczeństwa danych.

    • Jeśli faktycznie włamania były tylko na serwery SIP (identyfikator SIP i hasło) to nie wyciekły żadne dane użytkownika – login SIP i hasło SIP są generowane w ich systemie, więc nie są jego danymi osobowymi,

  14. W Netii nadal użytkownik loguje się na serwis www przez numer klienta + 4 cyfrowy PIN.
    Oczywiście można zmienić sposób logowania i stworzyć sobie indywidualną nazwę oraz hasło (kryteria to: litery, liczby lub !@#$%^&*()_+=-), ale wiadomo, że większość klientów nigdy tego nie zrobiła.
    Żeby było trudniej to parę lat temu numer klienta był 8 cyfrowy, ale być może zaczynali od 00000001 :)
    A coś takiego jak polityka wymuszania zmiany hasła nie istnieje.

    • W przypadku Netii, trzy błędne próby i blokada konta.

    • Jeżeli nic się nie zmieniło, to utworzenie drugiego hasła obniża bezpieczeństwo, bo wtedy można się logować na dwa sposoby: na hasło lub dalej na pin.

  15. Grzegorz Netia to nie SIP Easycall to nie jest infrastrukturalny operator haseł SIP tak się nie da zablokować

  16. @GwynBleidD
    W rozumieniu ustawy o ochronie danych osobowych – moim zdaniem – były. Identyfikator SIP wskazuje na konkretnego użytkownika, a provider może za jego pomocą wskazać konkretną osobę. Być może się mylę, ale GIODO chyba powinno się zainteresować…

  17. Ciekawi mnie czy w umowie z operatorem było coś drobnym druczkiem o wydzwonieniu konta jeżeli ktoś się włamie i podzwoni na swój biznes do dziwnego kraju. Taki numer może decydować w parę chwil czy firma będzie istniała dalej czy nie.

  18. Też mi oczyścili konto na prawie 150zł. Numery 213792930225, 213792930223 “Algeria”.

    • Zwrócą co do grosza … Szkoda tylko , że nie przeproszą i nie zadośćuczynią

  19. Dzisiaj coś zmienili że moja bramka VOIP nie może się zalogować mimo ze login i hasło jest ok

    • Przecież tam co chwile są awarie ;) Tydzień bez awarii w EC jest świętem dla pracowników i klientów ;]

  20. Bruteforcowali numeryczne, 6-znakowe hasła i nie było żadnego systemu blokady po kilku nieudanych próbach? Wyjaśni ktoś dlaczego tak było? Do SIPów nie da się po prostu wrzucić takiej prostej blokady?

  21. Mnie środki na konto zwrócono ,ale dostępu do telefonu nie mam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: