Niebieska linia - domena neostrada.pl + intaligentni ludzie w biurze obsługi klienta
http://hacking.pl/articles.php?id=181
:zeby: :zeby:
Historia istnie z książki...Kevina
"łamałem ludzi, nie hasła" ^_^
Cytat:
Kolejna wpadka Błękitnej Linii Telekomunikacji Polskiej. Tym razem bardzo poważna. Nieprzestrzeganie przez pracowników TPSA lub całkowity brak odpowiednich procedur w biurze obsługi klienta TPSA powoduje że każdy może uzyskać dostęp do dowolnego konta WWW i e-mail w domenie NEOSTRADA.PL bądź nawet dostęp do danych osobowych użytkowników usługi Neostrada.
Oto jak wpadliśmy na trop dziury w systemie zabezpieczeń Neostrady (właściwie należałoby powiedzieć iż jest to dziura w procedurach nie w zabezpieczeniach, co nie zmienia faktu że jest ona znacznie groźniejsza niż ewentualne niedopatrzenia w zabezpieczeniach technicznych, bo do jej wykorzystania nie potrzeba specjalistycznej wiedzy co znacznie zwiększa ryzyko "włamu").
TPSA każdemu użytkownikowi usługi Neostrada oferuje usługę dodatkową tzw Hosting. Jest to przestrzeń dyskowa o pojemności 50-100 MB na której można założyć konto e-mail lub WWW.
Dostęp do ustawień konta jest możliwy po zalogowaniu się w serwisie neostrada.pl. Do logowania potrzebny jest 12-cyfrowy ID i 4-cyfrowy PIN. Są to odpowiedniki loginu i hasła. Oba kody dostarcza użytkownikowi TPSA po zakupie Neostrady.
Zalogowanie przy użyciu Pinu i ID umożliwia min. zmianę hasła do serwera ftp. A znajomośc tego hasła pozwala, jak wiadomo, podmienić stronę www. Nie trzeba znać starego hasła by dokonać takiej zmiany, co znacznie ułatwia przejęcie konta.
Zatem jeśli uda się na m wejść w posiadani ID i PINu jakiegoś użytkownika neostrady możemy:
Po zalogowaniu się pod adresem: http://konfiguracja.neostrada.pl zmienić hasło do serwera ftp i do konta e-mail.
Zaś pod adresem: https://www.panel.neostrada.pl po wpisaniu ID i PINu, w ślicznych ramkach ukażą nam się dane osobowe użytkownika (nazwisko i dokładny adres).
Skąd zatem wziąć PINi ID? Odpowiedź jest przerażająco prosta.
Wystarczy zadzwonić na Błękitną Linię TPSA pod numer 0-800102102 i wyrecytować zręczną historyjkę o tym jak to zagubiliśmy nasz PIN i ID. Jedyną informacją o jaką pytają konsultanci w celu identyfikacji osoby dzwoniącej jest numer telefonu. Kiedy go podamy pracownik TPSA poda nam numer ID i PIN użytkownika.
Autorzy tego artykułu dokonali kilkudziesięciu prób uzyskania PINu i ID do swych własnych kont i do kont swych kolegów (za ich wiedzą i zgodą).
Jedynie raz zdarzyło się że pracownik TPSA zapytał o PESEL osoby dzwoniącej a trzy razy pytano o adres uzytkownika w celu lepszej identyfikacji. Pozostały próby zakończyły się sukcesem po podaniu numeru telefonu użytkownika neostrady.
Zatem znając numer telefonu dowolnego użytkownika Neostrady, można w ciągu kwadransa uzyskać dostęp do jego poczty elektronicznej, strony WWW oraz uzyskać komplet jego danych osobowych!
Warto tu nadmienić że usługa Neostrada jest jedną z najdroższych usług stałego dostępu do Internetu dla użytkowników indywidualnych co mogłoby sugerować jej wysoką jakość. Jak widać jest to błędne skojarzenie.
Czekamy na przeprosiny i wyjaśnienia z TPSA!
Autor tego artykułu chciał się podzielić kilkoma spostrzeżeniami na temat funkcjonowania Call Centers (nie tylko w TPSA). Przed napisaniem tego artykułu przeprowadziliśmy kilka rozmów z pracownikami Call Centers wszystkich trzech operatorów sieci komórkowych oraz TPSA. Wynika z nich że sytuacje podobne do opisanej powyżej zdarzają się często.
Pracownicy Call Centers pracują pod niezwykłą presją, czują się wykorzystywani i brakuje im motywacji do pracy. Wyznaczane są ścisłe limity rozmów które pracownik musi odebrać w ciągu godziny. Stąd dążeni konsultatow do skracania rozmów za wszelką cenę. Być może to dlatego konsultanci w TPSA nie przeprowadzają dokladnej identyfikacji narażając klientów na niebezpieczeństwo przejęcia ich kont przez osoby niepowołane. To jednak zaledwie wierzchołek góry lodowej.
Z przeprowadzonych rozmów wynika że sytuacje takie jak w TPSA są wynikiem nieudolnego zarządzania w Błękitnej linii. Podobne opinie wyrażali jednak także pracownicy sieci komórkowych.
Ten artykuł nie wyczerpuje tematu. Po rozmowach z pracownikami biur obsługi klienta kilku dużych firm postanowiliśmy kontynuować dyskusję na ten temat.
Będziemy też konsekwentnie demaskowac wszelkie zaniedbania narażające nas - klientów na straty.
Anonimowa ankieta dla pracowników biur obsługi klienta i klientów korzystających z obsługi telefonicznej.
Szczególnie mile widziane są opinie pracowników, jako osób najlepiej zorientowanych w tematyce.
Na adres poczta@hacking.pl prosimy przesyłać informacje na temat spostrzeżeń dot. nieszczelności czy wadliwości procedur i zabezpieczeń w Call Centers, które narażają klientów na straty podobne jak w TPSA.
|
|
