Vodafone a ČD: bezpečnost až na posledním místě?
Kolem bezpečnosti na Internetu se už promluvilo a propsalo mnohé. Každý ví, že by neměl používat jednoduchá slovníková hesla, že by neměl používat jedno heslo pro více služeb (od toho tu máme MojeID, popřípadě SuperGenPass) a že by si neměl hesla nikam poznamenávat. Běžný uživatel obvykle nad takovýmito poučkami mávne rukou a dál se chová nebezpečně. Když se však tak chovají i profesionálové na druhém konci drátu, je to na pováženou.
Můj příběh začíná u e-shopu Českých Drah. V korelaci s výjezdem žlutých vlaků se e-shop majoritního dopravce také proměnil a je konečně schopen v zadané relaci sám doporučit takovou nabídku, která je pro cestujícího nejvýhodnější. Pro častější zákazníky nabízí i registraci, kdy je možné si do „profilu“ uložit například číslo In-karty.
A tady nastává potíž. E-shop obsahuje také odkaz Moje In-karta, kterýžto vizuálně působí dojmem, že patří do e-shopu. Bohužel, ve skutečnosti jde zřejmě o zcela oddělené webové aplikace, které mezi sebou nic nesdílí. Pro přihlášení In-karty je třeba zadat její číslo a heslo. Číslo se zadává do oddělených políček, které sice jsou svázány pomocí JavaScriptu, i tak ale efektivně brání použití automatického doplnění, či vložení ze schránky.
S heslem je to ještě mnohem horší. Úvodní heslo dostanete spolu s In-kartou na blanketu klasické „modré jízdenky“. Po přihlášení jej můžete změnit, je však třeba zachovat formát xxx####, kde x je písmeno bez diakritiky a # je číslice. Takové striktní požadavky na heslo mají v případě mé osoby jasný důsledek:
Při každém použití používám funkci pro obnovení zapomenutého hesla.
Už to samo o sobě určitě není správné, ještě horší to je, když zjistíte, že při obnově nedochází k vygenerování nového hesla, pouze vám e-mailem přijde vaše platné aktuální heslo! A to bez jakéhokoli zabezpečení. Ano, i na konci roku 2011 jsme stále tam, kde jsme byli v roce 1997, kdy jsem začínal s Internetem. Heslo mají v databázi uloženo v otevřené podobě, dostane se k němu jak každý legitimní správce, tak i ten, kdo se správcem stane zneužitím nějaké díry v softwaru.
Vodafone phishing stále v provozu
Když už vlastníte In-kartu, můžete si na stránce cdbonus.vodafone.cz zařídit tarif pro volání z mobilního telefonu s výraznou slevou (což není problém vzhledem k obecně známým předraženým ceníkovým cenám našich operátorů). Na webové stránce vyplníte formulář, po jehož odeslání se skoro nic nestane, jen v e-mailové schránce objevíte poněkud zvláštní zprávu:
From: nabidka.cd-bonus@vodafone.com Subject: Zamestnanecka nabidka - potvrzeni objednavky Dobrý den, vaše objednávka byla úspěšně přijata. Děkujeme Váš Vodafone
O pár dnů později mi volá jakási paní z čísla +420777352nnn s tím, že by se mnou ráda vyřídila převod tarifu na nový zvýhodněný. Tohle číslo, jak jsem později zjistil, najdete na firmy.cz u jakési živnostnice v oboru cestovního ruchu z Bystřice pod Pernštejnem. A hned první otázka: „Vaše heslo pro komunikaci s operátorem?“
WTF? Tohle už se zde, na blozích roota, řešilo v roce 2008. Přesto Vodafone své zaměstnance stále nepoučil a jejich prostřednictvím vyzývá své klienty k nebezpečnému chování.
Když jsem se ohradil, že nevím, kdo mi volá, začala paní na druhém konci říkat, že pokud chci mít jistotu, nechť si zavolám na klasickou zákaznickou linku *077 a vyřídím to s nimi. Ale ujistila mě, že všechno vidí, moje jméno, tarify, které jsem zvolil i číslo In-karty. Nakonec jsem se tedy rozhodl, že provedu autorizaci pomocí čísla In-karty. Ta proběhla v pořádku, tak jsem heslo prozradil a hovor úspěšně dokončil. Vzhledem k tomu, že po hovoru se s mým zákaznickým účtem začalo něco dít (některé služby se deaktivovaly, jiné aktivovaly), je velmi pravděpodobné, že hovor skutečně byl legitimní, nejednalo se o žádný phishing.
Ani v případě, že o identitě protistrany není pochyb, se mi však nezdá korektní požadovat při telefonickém spojení celé heslo. Například Komerční Banka při ověřování hesla vyžaduje pouze dva náhodně vybrané znaky z hesla, takže není možné heslo zjistit jednorázovým odposlechem.
Zlepší se to někdy? Zrovna velké společnosti by měly v bezpečnosti jít příkladem. Jak je ale vidět, spíše opak je pravdou.
-
nemam (neregistrovaný)
To s tim Vodafonem je to blabol.
Proste nejaka zenska ti nahodou zavolala par dnu pote, cos pozadal o zvyhodneny tarif VF. Ale mezi temito dvema vecmi (vyplnenim formulare a tim, ze ti nekdo zavolal) neni vubec zadna souvislost. Mozna si to sam nemyslis, ze souvislost tam je, nicmene clanek tak velice silne vyzniva.
-
Petr Krčmář (neregistrovaný)
[1] Na tomhle vůbec nesejde. Důležité je, že telefonistky Vodafonu po vás chtějí heslo. Stalo se mi to taky: „Dobrý den, tady Klára z Vodafone, řekněte mi své heslo, abyste potvrdil, že vy jste vy.“ Hovor z neznámého čísla, nikam jsem nevolal, nic jsem nechtěl a nějaká cizí slečna po mě chce heslo. Samozřejmě jsem jí ho neřekl. Krásný příklad toho, jak může fungovat sociálního inženýrství.
-
Adam (neregistrovaný)
To s tim Vodafonem neni blabol.
Také jsem nedávno přešel na zlevněný tarif Vodafonu ve spolupráci s ČD a volala mi pravděpodobně tatéž pani ze stejného čísla. Také po me chtěla heslo a také se mi to zpočátku nelíbilo. Ale vzhledem k tomu, že jsem už odněkud měl informaci, že se tyhle tarify řeší někdě zvlášť, tak mne to tolik nepřekvavilo. -
Svarec (neregistrovaný)
S Vodafonem úplně stejná zkušenost. Pán údajně z Vodafonu mi nabízel výhodnější datový tarif, když jsme se dohodli že by se mi tarif líbil skončili jsme na tom jestli mu sdělím heslo. Samozřejmě jsem nesdělil. Na to odvětil jen, že se mu to stalo poprvé a že se poradí se supervisorem. Výsledkem bylo že mi pro ověření pošlou mail. Bohužel ani ten mě nepřesvědčil důvěřovat někomu na druhém konci (bez)drátu. Tak hold si o lepším datovém tarifu nechávám jen zdát a platím ten co mám. Je opravdu smutné že i takhle velké firmy nabádají lidi k takovýmto věcem.
-
Svarec (neregistrovaný)
[3] I když to řeší někde zvlášť třetí strana, tak přeci není takový problém udělat těmto operátorům omezený přístup do samoobsluhy Vodafonu, když mají nabízet jejich služby.
Rozhodně by mě ani nenapadlo někomu sdělovat do telefonu moje heslo tam a tam to je špatně. To by ti za chvíli mohli volat ze spořitelny že ti chtějí nastavit lepší poplatky na účtu a ať jim dáš přihlašovací údaje k servis24. -
hawran.diskuse (neregistrovaný)
Mi taky volal nějaký chlápek, že je z Vodafone a že mi nabízí levnější tarif. Chvíli jsme se bavili, pak po mně chtěl heslo, prý že pro ověření, že jsem to já.
Podle všeho to nebyl fejk, jelikož evidentně viděl, jaký mám tarif a další údaje.U toho hesla jsem se ale zasekl a řekl jsem mu, že jak mám věřit, že je opravdu z Vodafone (volal z čísla, které mi nic neříkalo). Prý, ať si zavolám zpátky.
Tak jsem mu řekl, ať mi alespoň pošle digitálně podapsaný e-mail z Vodafonu, že mi to bude stačit.
Na to mi odpověděl, že digitálně podepsané e-maily Vodafone neumí...(historka z tohoto léta)
-
repulsive (neregistrovaný)
připojuju se ke zděšení z toho, že vodafone vyžaduje pro autentizaci po telefonu s operátorem přihlašovací heslo! já jsem ho teda nakonec po několikaminutovém odporu sdělil (telefonát jsem zahájil já a potřeboval jsem vyřešit nějaký problém).. navíc, jestli se nepletu, v té době heslem mohlo bý jedině 4 nebo 6místné číslo. bylo by fajn o téhle praktice napsat článek / blogpost na nějakém "mobilním" webu, nebo napsat přímo vodafonovi.
-
Ondřej Caletka (neregistrovaný)
[1.] Samozřejmě, protože formulář pro ČDbonus běží na HTTP, je možné, že slečna někde odsniffovala údaje, které jsem odeslal a na základě nich ze mě vyloudila přihlašovací heslo, pomocí kterého pak kontaktovala legitimního zaměstnance operátora (aby se mi tarif začal měnit, což začal).
Celé je to ale krajně nepravděpodobné. Hovor od operátora jsem očekával (tak zněla pravidla nabídky), případná útočnice by tak nemohla mít jistotu, že nevolá už druhá v pořadí, což by mi bylo hodně podezřelé.
-
Ondra B. (neregistrovaný)
Vím, že to není až tak IT problém, ale velice mě vytáčí, když po mně chtějí do telefonu sdělit například obyčejné rodné číslo. Sice ho znají všude, ale přeci jen mi to nepřijde jako adekvátní způsob ověřování identity, zvláště když nevím, kdo sedí na druhé straně "drátu". Většinou to řeším tak, že když se mě někdo zeptá na RČ, odvětím slovy "A Vy mi své řeknete?". Tyto zkušenosti mám z komunikace se dvěma našimi českými bankami (ČS a KB).
-
Jenda (neregistrovaný)
Ad. hašování hesel: https://www.abclinuxu.cz/portal/poradna/show/342861#25 ;)
-
Ondřej Caletka (neregistrovaný)
[12]. Nevím o tom, že by Vodafone vydával svým zaměstnancům/externím spolupracovníkům jakékoli certifikáty, natož pak kvalifikované. A i kdyby, jak si představuješ praktické provedení takového ověření po telefonu?
Pokud bych nepovažoval ověření číslem In-karty za dostatečné, mohl jsem hovor ukončit, volat *077, počkat hodinu než se dostanu na řadu a tam převod tarifu vyřešit. Jenže to jsem právě nechtěl.
-
radek (neregistrovaný)
takze jak tak ctu, tak nejlepsi ochrana hesla by byla, kdyby jsi mel heslo do uctu, ktere by mohlo byt jakkoliv dlouhe a pak dalsi 6ti mistny kod, ktery by byl pouze k overeni a nic jinyho by se na nem nedalo delat :)) to nezni spatne. Defakto bych se prihlasil na muj ucet a pak zadal jakysi overovaci kod, aby operatorka mohla potvrdit ze jsem to opravdu ja a pritom to nemohlo byt zneuzity.
-
radek (neregistrovaný)
posledni vetu jsem napsal spatne... melo to byt:
Defakto bych se prihlasil na muj ucet a pak zadal jakysi overovaci kod, ktery by slouzil operatorce na potvrzeni ze jsem to opravdu ja (to heslo by se vyuzivalo pouze kdyby oni volali tobe), kdyz ty volas jim, tak ho zadavas to heslo do mobilu.
-
Stanley (neregistrovaný)
Přidám taky svoji trošku do mlýna. Podal jsem podnět k řešení špatně nastaveného tarifu u Vodafonu. Volal mi 2 dny nato nějaký chlapík, že je z Vodafonu (na 95 % věřím, že z Vodafonu byl) a že mu mám sdělit své heslo. To jsem odmítl. Řekl, že moje rozhodnutí respektuje, ale že můj požadavek nebude vyřízen. Požádal jsem ho, jak si mohu ověřit jeho totožnost. Odpověděl, že mohu zavolat zpět na číslo a ohlásí se mi Vodafone, ale nejspíš někdo zcela jiný než on. To ovšem za identifikaci nepovažuji. Operátor se po této výměně názorů rozhodl hovor ukončit s tím, že si mohu požadavek zadat znovu, ovšem se stejným výsledkem (postupem). Děkuji, ale takto ne milý Vodafone.
-
Mireczech (neregistrovaný)
To me u Vodafonu zarazi jeste horsi vec - mobilni samoobsluha na ms.vodafone.cz. Na strance se zadava tel cislo i heslo a cele to bezi jen a pouze na http :-( Vlozil jsem dotaz na strankach Vodafone, jestli by s tim neco nemohli udelat. Odpovedi jsem se dockal: Váš dotaz jsme předali specialistům a jakmile od nich získáme vyjádření, ozveme se Vám. Děkujeme za strpení.
Cele to probehlo cca pred pul rokem, zatim zadna zmena :-( -
Stanley (neregistrovaný)
To Mireczech: Souhlas, v podstatě je i můj příspěvek projevem určité paranoii. Heslo do samoobsluhy zadávám na http protokolu, pokud volám operátorovi, tak heslo zadávám tónovou volbou, vše poměrně jednoduše zjistitelné, takže by mi nemělo vadit ho i prostě sdělit. Někde dělá Vodafone chybu, ale evidentně se ji nesnaží ani řešit.
-
v6ak (neregistrovaný)
Taky mi takto volali, operátor mi řekl, že mě chápe, ale nakonec mě něčím přesvědčil, že to bude asi opravdu on.
Kolem zavádění nového systému jsem u nich byl často (reklamace). Obvykle u mě na prodejně chtěli heslo. Já jim ho psal. Jednou jsem vynechal jeden znak. Dozvěděl jsem se něco jako 'no něco tam trošku chybí'. Evidentně plaintext.
BTW: Od určité doby chtějí na *077 heslo na začátku. To je vpořádku. Ale když po mě heslo chtěl i operátor a řekl jsem mu, že jsem ho už zadal (DTMF...), poznamenal, že to zatím nemají propojený. Ono by to bylo fajn, operátoři by se nemuseli dostat k heslům. Zajímalo by mě, zda to tak již mají.
-
WIFT (neregistrovaný)
To nic není, já když přes jistou společnost objednávám zájezd na dovolenou do zahraničí, diktuju číslo platební karty po telefonu kamsi do Irska :) Že se při tom chovám krajně nebezpečně, je mi jasné, zatím (klep klep) žádná zkušenost typu vybílená karta, ale chlupy se mi při tom ježí na (_!_) pokaždé, když to dělám. To jsem spíš měl tu zkušenost, že komusi unikla data (komusi, kde jsem platil na internetu zabezpečenou cestou) a po čase najednou hle - autorizovaná transakce, o který nic nevím - naštěstí vzápětí stornovaná platební společností, krátce na to (do jednoho dne) mi sami zavolali z HelpDesku, že mi z toho a toho důvodu zablokovali kartu a že si mám přijít pro novou (což mě stojí jen cestu do banky a zpět, to jsou podle mě akceptovatelné náklady).
-
Hery (neregistrovaný)
No u VF po zavedení nového systému není vůbec vidět danné heslo. A proč ho operátoři vyžadují je velmi lehké. On někdy systém totiž nepropíše heslo, které jste zadali do telefonu a pro bezpečnost účtu, aby operátoři nesdělili osobní údaje jiné osobě než na kterou jsou vedený a i když ho zadá tak stejnak ho nevidí. K tomu slouží heslo a né k nějaké manipulaci. Stejnak kdyby někdo z operátorů chtěl nějak údaje na účtu změnit nebo osobní udaje kopírovat tak během chvíle je bez práce, protože veškeré aktivity jsou monitorovány. Vim jak to chodí na call centru. A kdyby někdo za vás změnil něco na vašem účtu tak stejnak během chvíle chodí info sms a víte co se dějě na vašem účtu a můžete to změnit.
