Niebieska linia - domena neostrada.pl + intaligentni ludzie w biurze obsługi klienta

[Patrix]

http://hacking.pl/articles.php?id=181
:zeby: :zeby:
Historia istnie z książki...Kevina
"łamałem ludzi, nie hasła" ^_^

Cytat:

Kolejna wpadka Błękitnej Linii Telekomunikacji Polskiej. Tym razem bardzo poważna. Nieprzestrzeganie przez pracowników TPSA lub całkowity brak odpowiednich procedur w biurze obsługi klienta TPSA powoduje że każdy może uzyskać dostęp do dowolnego konta WWW i e-mail w domenie NEOSTRADA.PL bądź nawet dostęp do danych osobowych użytkowników usługi Neostrada.

Oto jak wpadliśmy na trop dziury w systemie zabezpieczeń Neostrady (właściwie należałoby powiedzieć iż jest to dziura w procedurach nie w zabezpieczeniach, co nie zmienia faktu że jest ona znacznie groźniejsza niż ewentualne niedopatrzenia w zabezpieczeniach technicznych, bo do jej wykorzystania nie potrzeba specjalistycznej wiedzy co znacznie zwiększa ryzyko "włamu").

TPSA każdemu użytkownikowi usługi Neostrada oferuje usługę dodatkową tzw Hosting. Jest to przestrzeń dyskowa o pojemności 50-100 MB na której można założyć konto e-mail lub WWW.

Dostęp do ustawień konta jest możliwy po zalogowaniu się w serwisie neostrada.pl. Do logowania potrzebny jest 12-cyfrowy ID i 4-cyfrowy PIN. Są to odpowiedniki loginu i hasła. Oba kody dostarcza użytkownikowi TPSA po zakupie Neostrady.

Zalogowanie przy użyciu Pinu i ID umożliwia min. zmianę hasła do serwera ftp. A znajomośc tego hasła pozwala, jak wiadomo, podmienić stronę www. Nie trzeba znać starego hasła by dokonać takiej zmiany, co znacznie ułatwia przejęcie konta.

Zatem jeśli uda się na m wejść w posiadani ID i PINu jakiegoś użytkownika neostrady możemy:

Po zalogowaniu się pod adresem: http://konfiguracja.neostrada.pl zmienić hasło do serwera ftp i do konta e-mail.

Zaś pod adresem: https://www.panel.neostrada.pl po wpisaniu ID i PINu, w ślicznych ramkach ukażą nam się dane osobowe użytkownika (nazwisko i dokładny adres).

Skąd zatem wziąć PINi ID? Odpowiedź jest przerażająco prosta.

Wystarczy zadzwonić na Błękitną Linię TPSA pod numer 0-800102102 i wyrecytować zręczną historyjkę o tym jak to zagubiliśmy nasz PIN i ID. Jedyną informacją o jaką pytają konsultanci w celu identyfikacji osoby dzwoniącej jest numer telefonu. Kiedy go podamy pracownik TPSA poda nam numer ID i PIN użytkownika.

Autorzy tego artykułu dokonali kilkudziesięciu prób uzyskania PINu i ID do swych własnych kont i do kont swych kolegów (za ich wiedzą i zgodą).

Jedynie raz zdarzyło się że pracownik TPSA zapytał o PESEL osoby dzwoniącej a trzy razy pytano o adres uzytkownika w celu lepszej identyfikacji. Pozostały próby zakończyły się sukcesem po podaniu numeru telefonu użytkownika neostrady.

Zatem znając numer telefonu dowolnego użytkownika Neostrady, można w ciągu kwadransa uzyskać dostęp do jego poczty elektronicznej, strony WWW oraz uzyskać komplet jego danych osobowych!

Warto tu nadmienić że usługa Neostrada jest jedną z najdroższych usług stałego dostępu do Internetu dla użytkowników indywidualnych co mogłoby sugerować jej wysoką jakość. Jak widać jest to błędne skojarzenie.

Czekamy na przeprosiny i wyjaśnienia z TPSA!

Autor tego artykułu chciał się podzielić kilkoma spostrzeżeniami na temat funkcjonowania Call Centers (nie tylko w TPSA). Przed napisaniem tego artykułu przeprowadziliśmy kilka rozmów z pracownikami Call Centers wszystkich trzech operatorów sieci komórkowych oraz TPSA. Wynika z nich że sytuacje podobne do opisanej powyżej zdarzają się często.

Pracownicy Call Centers pracują pod niezwykłą presją, czują się wykorzystywani i brakuje im motywacji do pracy. Wyznaczane są ścisłe limity rozmów które pracownik musi odebrać w ciągu godziny. Stąd dążeni konsultatow do skracania rozmów za wszelką cenę. Być może to dlatego konsultanci w TPSA nie przeprowadzają dokladnej identyfikacji narażając klientów na niebezpieczeństwo przejęcia ich kont przez osoby niepowołane. To jednak zaledwie wierzchołek góry lodowej.

Z przeprowadzonych rozmów wynika że sytuacje takie jak w TPSA są wynikiem nieudolnego zarządzania w Błękitnej linii. Podobne opinie wyrażali jednak także pracownicy sieci komórkowych.

Ten artykuł nie wyczerpuje tematu. Po rozmowach z pracownikami biur obsługi klienta kilku dużych firm postanowiliśmy kontynuować dyskusję na ten temat.

Będziemy też konsekwentnie demaskowac wszelkie zaniedbania narażające nas - klientów na straty.

Anonimowa ankieta dla pracowników biur obsługi klienta i klientów korzystających z obsługi telefonicznej.

Szczególnie mile widziane są opinie pracowników, jako osób najlepiej zorientowanych w tematyce.

Na adres poczta@hacking.pl prosimy przesyłać informacje na temat spostrzeżeń dot. nieszczelności czy wadliwości procedur i zabezpieczeń w Call Centers, które narażają klientów na straty podobne jak w TPSA.

[MacGyver]

Gdzieś już o tym niedawno czytałem.....text dobijajacy abonenta tepesyyy....

....:::: Update ::::....
Już wiem
http://forum.cdrinfo.pl/showthread.php?t=33234
Podobny text

[ThanatoS]

Wczoraj bylo o tym na offtopicu http://forum.cdrinfo.pl/showthread.php?t=33234

zamykam