Forum CDRinfo.pl - Jak łatwo zdobywa się TAJNE DANE klientów w TP SA...

Cytat:

Jak łatwo zdobywa się TAJNE DANE klientów w TP SA...
Opr.: Krzysztof Gontarek
31.03.2004 r, godz. 11:48 CET

... przekonali się redaktorzy serwisu Hacking.pl. To już kolejna wpadka Błękitnej Linii Telekomunikacji Polskiej. Tym razem bardzo poważna. Nieprzestrzeganie przez pracowników TPSA lub całkowity brak odpowiednich procedur w biurze obsługi klienta TPSA powoduje, że każdy może uzyskać dostęp do dowolnego konta WWW i e-mail w domenie NEOSTRADA.PL, bądź nawet dostęp do danych osobowych użytkowników usługi Neostrada.

TPSA każdemu użytkownikowi usługi Neostrada oferuje usługę dodatkową tzw Hosting. Jest to przestrzeń dyskowa o pojemności 50-100 MB na której można założyć konto e-mail lub WWW. Dostęp do ustawień konta jest możliwy po zalogowaniu się w serwisie neostrada.pl. Do logowania potrzebny jest 12-cyfrowy ID i 4-cyfrowy PIN. Są to odpowiedniki loginu i hasła. Oba kody dostarcza użytkownikowi TPSA po zakupie Neostrady.

Zalogowanie przy użyciu Pinu i ID umożliwia min. zmianę hasła do serwera ftp. A znajomość tego hasła pozwala, jak wiadomo, podmienić stronę www. Nie trzeba znać starego hasła by dokonać takiej zmiany, co znacznie ułatwia przejęcie konta.

Zatem jeśli uda się nam wejść w posiadanie ID i PINu jakiegoś użytkownika neostrady możemy:

Po zalogowaniu się pod adresem: http://konfiguracja.neostrada.pl zmienić hasło do serwera ftp i do konta e-mail.

Zaś pod adresem: https://www.panel.neostrada.pl po wpisaniu ID i PINu, w ślicznych ramkach ukażą nam się dane osobowe użytkownika (nazwisko i dokładny adres).

Skąd zatem wziąć PINi ID? Odpowiedź jest przerażająco prosta...

Wystarczy zadzwonić na Błękitną Linię TPSA pod numer 0-800102102 i wyrecytować zręczną historyjkę o tym jak to zagubiliśmy nasz PIN i ID. Jedyną informacją o jaką pytają konsultanci w celu identyfikacji osoby dzwoniącej jest numer telefonu. Kiedy go podamy pracownik TPSA poda nam numer ID i PIN użytkownika.

Wynika z tego, iż znając numer telefonu dowolnego użytkownika Neostrady, można w ciągu kwadransa uzyskać dostęp do jego poczty elektronicznej, strony WWW oraz uzyskać komplet jego danych osobowych!

Warto tu nadmienić że usługa Neostrada jest jedną z najdroższych usług stałego dostępu do Internetu dla użytkowników indywidualnych co mogłoby sugerować jej wysoką jakość... Jak widać jest to błędne skojarzenie.

Redaktorzy hacking.pl podkreślają, iż jest to dziura w procedurach nie w zabezpieczeniach. Fakt ten sprawie, iż jest ona znacznie groźniejsza niż ewentualne niedopatrzenia w zabezpieczeniach technicznych, bo do jej wykorzystania nie potrzeba specjalistycznej wiedzy co znacznie zwiększa ryzyko "włamu".

Przed opublikowaniem tej informacji redaktorzy hacking.pl przeprowadzili kilka rozmów z pracownikami Call Centers wszystkich trzech operatorów sieci komórkowych oraz TPSA. Wynika z nich że sytuacje podobne do opisanej powyżej zdarzają się często.

Pracownicy Call Centers pracują pod niezwykłą presją, czują się wykorzystywani i brakuje im motywacji do pracy. Wyznaczane są ścisłe limity rozmów które pracownik musi odebrać w ciągu godziny. Stąd dążenie konsultantów do skracania rozmów za wszelką cenę. Być może to dlatego konsultanci w TPSA nie przeprowadzają dokładnej identyfikacji, narażając klientów na niebezpieczeństwo przejęcia ich kont przez osoby niepowołane. To jednak zaledwie wierzchołek góry lodowej.

Z przeprowadzonych rozmów wynika, że sytuacje takie jak w TPSA są wynikiem nieudolnego zarządzania w Błękitnej linii. Podobne opinie wyrażali także pracownicy sieci komórkowych.

Redakcja hacking.pl zapowiada kontynuację tematu i konsekwentne demaskowanie wszelkich zaniedbań narażających nas - klientów na straty.

Na stronach hacking.pl dostępna jest anonimowa ankieta dla pracowników biur obsługi klienta i klientów korzystających z obsługi telefonicznej. Szczególnie mile widziane są opinie pracowników, jako osób najlepiej zorientowanych w tematyce.