7:58
23/3/2018

Przedsiębiorcy telekomunikacyjni pozwalają na dokonywanie pewnych zmian na koncie po podaniu tzw. hasła abonenckiego. Nikogo nie zdziwiłoby podawanie tego hasła w czasie rozmowy na infolinii, ale najwyraźniej coraz częściej konsultanci proszą o podanie takiego hasła… w e-mailu.

Pan da hasło

Oto przykład z Play.

Inny przykład pochodzi z T-Mobile.

W tym drugim przypadku Czytelnik chciał poinformować o nieprawidłowym działaniu aplikacji “Mój T-Mobile”. Został poproszony o przesłanie wymienionych danych. Odpisał, że chciał jedynie dowiedzieć się o przyczynach problemu, a w odpowiedzi na to dostał kolejnego e-maila z prośbą o przesłanie danych. Wymuszanie podawania tak ważnych (żeby nie powiedzieć wrażliwych) danych z tak błahych powodów wydaje się być nadużyciem.

Ten problem nie dotyczy tylko operatorów. Oto jeden z naszych czytelników, który został poproszony o hasło do swojej skrzynki e-mail, aby administrator jednego
z hostingów współdzielonych mógł “przetestować” czy jego naprawa działa.

To da się zrobić lepiej

Nie bardzo potrafimy zrozumieć jaki jest sens ustalania hasła, którego zapisanie w jawnej postaci i przesłanie pocztą elektroniczną się wymusza. Oznacza to, że może powstać wiele kopii zapisu tego hasła, a dostęp do tych kopii mogą mieć różne osoby. Wyrażaliśmy już wątpliwości co do przesyłania kopii dowodów osobistych na adresy, do których dostęp ma wielu pracowników. Równie złym pomysłem wydaje się przesyłanie haseł na takie adresy (i w ogóle przesyłanie haseł w e-mailu).

To trzeba robić lepiej, bo…

Podszywanie się pod klienta przedsiębiorcy telekomunikacyjnego może się skończyć poważną kradzieżą, a w pewnych przypadkach może być też prostsze niż się wydaje. Dodatkowo, warto zdać sobie sprawę, że włamywacze którzy przejmą czyjąś skrzynkę e-mail od razu przeszukają ją pod kątem takich haseł i — jak widać — mogą zyskać dodatkowe uprawnienia. Do czego to może prowadzić opisaliśmy w artykule Przestępcy przekierowali mu telefon i dzięki temu okradli konto w banku.

Jeśli otrzymacie taką prośbę, od operatora lub innej firmy, dajcie nam znać. A firmie nie podawajcie takich danych e-mailem. Gdyby jednak nie dało się inaczej (np. alternatywą był dojazd do placówki odległej o 150 kilometrów, rowerem, nocą i w trakcie burzy) to pamiętajcie aby na dowody osobiste nanosić znaki wodne, a hasła zaraz po takim niebezpiecznym przesłaniu zmieniać.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. A może to po prostu nieudolny serwisant chce wejść na konto użytkownika żeby zdiagnozować problem, bo “u niego działa” i nie ma innych narzędzi do rozwiązania problemu.

  2. Ogólnie logowanie do zgłoszenia błędu to jakieś nieporozumienie, acz nic i tak nie przebije TeamViewera, w którym jakiś czas temu chciałem zgłosić dość upierdliwy błąd (niezwiązany z bezpieczeństwem). Odbiłem się od formularza kontaktowego (nie znalazłem nigdzie bezpośredniej opcji “zgłoś błąd”), który stwierdził, że muszę wykupić wersję premium produktu, żeby z niego korzystać. Błąd więc dalej sobie w programie egzystuje, zapewne niezgłoszony.

  3. Dacia/Renault przy problemach z generowaniem kodów rabatowych w portalu „Moja Dacia” pragnie login i hasło do konta, aby administrator mógł wygenerować kod rabatowy…

    • Jednocześnie jak podasz nieopatrznie numer telefonu w serwisie tej marki (bo zostawiłeś auto i mają dzwonić jak będzie do odbioru) to bez pytania o cokolwiek jesteś raczony subskrypcją SMS z reklamami.

    • Nie tylko u nich. W Hondzie miałem to samo, przestali wysyłać reklamy dopiero jak postraszyłem GIODO.

    • @Monter to chyba robota dealera bo ja podawałem numer i żadnego spamu nie dostaje.

    • @ja – to albo trafiłeś na firmę działającą OK albo… pomylili się przy wpisywaniu ;o)

      Np. duży serwis Fiat w Poznaniu nie dość, że SMS-uje przypomnienia o wizytach i przeglądach (to byłoby jeszcze wporzo gdyby ktoś mnie pytał o chęć otrzymywania takich powiadomień) to jeszcze dzwonią z jakąś ankietą satysfakcji z usługi. Na pytanie dlaczego i po stwierdzeniu że nie wyraziłem zgody zmieszany Pan odparł, że on nic nie wie i się rozłączył. W ich systemie moja ocena to pewnie pełna 10.

  4. Brakuje edukacji w zakresie ochrony informacji. Nawet w standardach dotyczących PSD2 wprowadzono tzw. model embedded w którym login hasło i hasło jednorazowe do banku przekazywane są przez stronę trzecią. To pierwszy tego rodzaju standard ataku man-in-the-middle. Warto poczytać https://www.berlin-group.org/nextgenpsd2-downloads

  5. Jeśli jest to hasło, które ma potwierdzić, że mamy prawo do dysponowania kontem danym kanałem to osoba po drugiej stronie zapewne ma to hasło w postaci czystego tekstu. A skoro tak, to proponuję w takiej sytuacji (przynajmniej w przypadku poczty email) przesyłać to np. tak:
    – +23 123 456 78 90
    – Jan Kowalski
    – md5 hasła abonenckiego posolone słowem “posolone”: 20A91636D1C477B3173FB061CD833309

    • Już, już to normalnie widze, jak studencik dorabiający na sluchawce ogarnie md5 i skuma o co w ogole chodzi :)

  6. Wnoszę o nazwanie tej metody: “na rumuńską pandę” (“pan da…, pan da…” – żebranie wg kabaretu Limo).

    • Szczególnie, że stosuje ją też Dacia (jak widać z komentarzy powyżej).

  7. Mój operator internetu/kablówki ma panel klienta, do którego loginem jest PESEL a hasło ma 6 liter, jest podane na umowie i nie można go zmienić. Panel zawiera nazwisko, adres zamieszkania, adres usługi, numer telefonu, zewnętrzny adres IP a także historię faktur i płatności oraz formularz kontaktowy z helpdeskiem (nie wiem czy można przez niego zamówić dodatkowe usługi). Do tego po wybraniu opcji “przypomnij dane logowania” dostajemy maila z loginem i hasłem w plaintekście.

  8. w home.pl weryfikują abonenta przy pomocy hasła do panelu administracyjnego (!) lub hasłem jednorazowym sms.

    • Nie pitol głupot, kiedyś losowo prosili losowo o znaki z hasła, obecnie generują w systemie SMS’a i proszą po przesłaniu o SMS,… o to co wysłali, by zweryfikować nr telefonu, który jest upoważniony do tego, by udzielić mu informacji odn. konta

    • Potwierdzam kiedyś jak miałem jakiś problem z home.pl to na infolini trzeba było podać hasło do panela.

  9. Operator (a nawet wszystkie punkty danego operatora) widzą te hasło na ekranie swojego komputera. Jeśli ktoś wysłał mailem jakieś zgłoszenie do operatora (zamiast zalogować się w BOK i tam wysłać zgłoszenie), to musi się jakoś zidentyfikować, bo napisanie, że ja to ja jest mało wiarygodne. Do takiej weryfikacji takie hasło abonenckie nadaje się bardzo dobrze. Można ustalić je samodzielnie i nie musi być takie same jak hasło do banku. Można ustawić np “a na ch…j wam moje hasło”.

  10. Ktoś ma może pomysł jak sobie poradzić z sytuacją gdy jakis portal – np AirBnB prosi o skan dowodu i weryfikuje go automatycznie?
    Żadne znaki wodne nie przechodzą, bo wtedy dowód nie pasuje do wzorca i system go odrzuca. Na obsługę w realu w ogóle nie ma szans.
    Rozumiem, że rozwiązaniem jest zawsze “szklanka wody zamiast”, ale… no właśnie.

    • Masz 3 rozwiązania
      1.Na bogato ” kolekcjonerki dowód osobisty”
      2. Taniej kupić od “podziemia” scany ( sprzedają każdą ilość w super jakości )
      3.Obróbka wykonana w odpowiednich etapach – da się bez problemu oszukać algorytmy :)

      Jak w ramach protestu nie chcesz łożyć podatków na ” te wirtualne państewko decyzyjnie zależne w 100% od bolszewickiej UE ” to polecam rozwiązanie numer 2 :)

    • To bardzo ciekawe co piszesz: weryfikują automatycznie? Tzn. mają systemy do weryfikacji paszportów, dowodów i praw jazdy wszystkich państw w których działają?
      Ma ktoś jakieś linki które by wyjaśniały jak działa technicznie taka weryfikacja?

    • Kolega Harina jak się domyślam z demokratycznej Rosji nadaje? Kto u Was teraz rządzi, Putin, .. czy Putin?

  11. Owszem, ale nie traktowałbym tego hasła abonenckiego jak hasło do poczty czy banku (które należy chronić), tylko jak słowo klucz potwierdzające, że ten kto się zgłasza ma coś wspólnego z właścicielem konta. Taki klucz który mogą znać pracownicy operatora i w niczym ta znajomość nam nie zaszkodzi. A z lepszych metod przesyłania takiego klucza mailem wystarczyło by poprosić o wybrane litery z takiego hasła.

    • ale przechwycenie hasła abonenckiego (jak się wydaje mało istotnego) przez osobę trzecią, pozwoli osobie trzeciej uwiarygodnić się i zmienić np. przekierowanie połączeń lub sms – co jest już poważnym zagrożeniem jak chodzi np. o banki (weryfikacja, kody jednorazowe, potwierdzenie dyspozycji, potwierdzenie anomalii wykrytej przez bank itp.)

    • Przez maila nie załatwisz nic istotnego. Do tych istotniejszych spraw potrzeba wizyty osobistej w punkcie obsługi z dowodem, lub kontaktu telefonicznego z bok.

  12. Kogoś nieźle pokręciło z takim podejściem do tematu D:
    Hasło, jawnym tekstem, mailem…

  13. Przesyłanie haseł zwłaszcza mailem w czystej postaci to zawsze jest zły pomysł, mail może wyciec i osoba atakująca będzie miała prawo wszelkiej modyfikacji u operatora łącznie z przekierowaniem połączeń/sms (artykuł na Niebezpieczniku o tym już był), pisanie, ze to nie jest hasło do banku świadczy tylko o niezrozumieniu zagrożeń i ataków które już miały miejsce, to nie są sytuacje hipotetyczne lecz faktyczne.
    Agencje ochrony (przynajmniej te lepsze) pytają o hasło, jeżeli jestem w towarzystwie to mówię, ze nie mogę podać i pytają mnie losowe litery lub do cyfry pierwszej i ostatniej dodać 3 wówczas nawet jeżeli ktoś usłyszy odpowiedź to będzie mu ona całkowicie bezuzyteczna.

  14. Potwierdzam, ostatnio zostałem zapytany o hasło do konta podczas rozmowy telefonicznej nt. przedłużenia umowy.

  15. Yyyyy. No szczena mi opadła. Myślałem, że te czasy mamy już za sobą. Czyżby “powrót do przesłości”???

  16. UPC kiedyś tak robiło, prosili o hasło przez maila jak i podczas rozmowy telefonicznej z bokiem, mam nadzieje że to już się zmieniło.

  17. Wczoraj zadałem pytanie na bok@plusgsm.pl, w odpowiedzi dostałem prośbę o odesłanie mailem peselu albo plus kodu aby mogli mi udzielić informacji. Oddzwonienie przez operatora na telefon celem autoryzacji nie wchodziło w grę, bo nie mogą oddzwonić na numer czekający na przeniesienie a tylko na tymczasowo przydzielony, z którego mało kto korzysta i przeważnie czeka w szufladzie na datę przeniesienia.

  18. To samo Cyfrowy Polsat podczas zgłoszenia, że na mój adres e-mail trafiają faktury innych osób:

    “Szanowny Panie
    W odpowiedzi na przesłane zgłoszenie wyjaśniamy, że z uwagi na fakt, iż przesłana prośba dotyczy podania informacji wymagających weryfikacji konta Abonenckiego prosimy o podanie w mailu zwrotnym danych, które jednoznacznie pozwolą nam na uwierzytelnienie, jako Klienta Cyfrowego Polsatu:
    – imię i nazwisko,
    – numer karty dekodera bądź numer MSISDN,
    – numer PESEL.
    Zwracamy uwagę, że nie ma konieczności podawania powyżej wskazanych danych w przypadku przesłania zgłoszenia po zalogowaniu się w ICOK.

    W przypadku kontynuowania przedmiotowej sprawy prosimy nie usuwać treści poprzednich wiadomości. Zachowanie pełnej korespondencji przyśpieszy analizę zgłoszenia.

    Z poważaniem,”

  19. A propo e-maili takie dyskretne pytanie mam. Ten mail co do Was wysłałem w sobotę dotarł czy nie?

  20. Niestety, nie tylko chodzi tu o operatorów… W szpitalach (Warszawa) też podobna akcja. W Naszym przypadku ktoś podszywał się pod Dział IT… Szkoda tylko że większość ludzi się na to łapie…

  21. Mnie zaskoczył fakt, że hasło do konta Play24 jest WIDOCZNE dla agentów Play w salonach i wysepkach. Ciekawe jakim cudem…

  22. Szok. Tak jak gość to opisał – to nie powinno się zdarzyć aby admini musieli prosić o hasło do konta przez email. Moim zdaniem przykład niekompetencji administratorów.

  23. Virgin Mobile też prosi w zwykłym e-mailu o podanie danych osobowych czyli Imie, Nazwisko, nr tel., Kod puk, pesel. Niedługo może jeszcze będą chcieli w celach weryfikacji skan dowodu/prawka etc i nr buta.

    Jak dla mnie patologia jesli chodzi o zabezpieczenie danych klienta. Dodam że te dane potrzebne sa tylko w celach weryfikacji i prostych odpowiedzi na pytania.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.