Dane osobowe klientów Netii ujawnione publicznie w systemie serwisowym

dodał 21 września 2017 o 22:56 w kategorii Prywatność, Wpadki  z tagami:
Dane osobowe klientów Netii ujawnione publicznie w systemie serwisowym

Czasem można trafić w sieci na strony, których już samo istnienie w formie publicznie dostępnej stanowi spore zaskoczenie i zagadkę. Nie inaczej było w przypadku systemu zgłoszeń serwisowych Netii zawierającego dane klientów.

Jeden z naszych Czytelników podesłał nam linka do pewnej witryny. Okazało się, że po wykonaniu kilku trywialnych kroków każda osoba znająca ten adres mogła, bez żadnego uwierzytelnienia, poznać treść zgłoszeń przekazywanych między pracownikami Netii i często zawierającymi dane abonentów firmy.

Co w internecie robi ta witryna

Link przekazany przez Czytelnika o treści

przekierowywał na adres

który z kolei wyglądał tak:

W oparciu o wskazówkę Czytelnika wpisaliśmy w pole adres email o treści xxx.xxx@netia.pl i wysłaliśmy formularz. W odpowiedzi otrzymaliśmy taką stronę:

Pozostało już tylko przejść do zgłoszenia by zobaczyć ten oto interfejs:

To nie wyglądało dobrze. A kliknięcie w guzik „Zobacz 300 ostatnich zgłoszeń” pokazało nam to, co obiecywało – 300 świeżych zgłoszeń od klientów. Na przykład takich:

lub takich:

Zgłoszenia miały różną zawartość – często występowały w nich numery telefonów, czasem także adresy email, świadczenia usług itp. Dodatkowo w tabelce były także personalia osób przyjmujących zgłoszenia.

A to nie koniec

Temat szybko zgłosiliśmy Netii (dziękujemy za ekspresowy kontakt), a w tym samym czasie przyjrzeliśmy się domenie dtwk.pl i innym jej subdomenom. Trafiliśmy tam między innymi na taki serwis:

Danych klientów było tam dużo mniej, ale nadal były one dostępne publicznie. Na innej stronie znaleźliśmy interfejs do zarządzania grafikami zespołu:

Po co to jest w sieci

Na wielu innych witrynach w tej samej domenie trafiliśmy na przeróżne komunikaty wskazujące, że witryny te w ogóle nie powinny być dostępne z sieci publicznej. Poniżej mała galeria wariantów ostrzeżeń i paneli logowania:

Nie mamy pojęcia, dlaczego i w jaki sposób opisywane powyżej witryny zostały udostępnione w publicznej sieci. Nie był to chyba najlepszy pomysł. Netia na nasze zgłoszenie zareagowała bardzo szybko – w ciągu kilkudziesięciu minut strony zostały zablokowane.

Podstawy podstaw

Znalezienie w Google witryn dużej firmy udostępniających bez uwierzytelnienia dane osobowe klientów nie powinno mieć miejsca w XXI wieku – ale niestety nadal się zdarza. Strach pomyśleć, co by było, gdyby ktoś przetestował te strony pod kątem ataków SQLi lub podobnych. Netia miała już w swojej historii podobne przypadki – i nie kończyły się one zbyt dobrze.

Oficjalny komentarz Netii
Według naszych wstępnych ustaleń, rzekoma luka w dostępie do wewnętrznej aplikacji – wspierającej pracę konsultantów pomocy technicznej – była wynikiem celowego działania zidentyfikowanej już przez nas osoby (były pracownik, z którym kilka miesięcy temu rozwiązaliśmy umowę o pracę). Na krótko przed przekazaniem informacji serwisom niebezpiecznik.pl i zaufanatrzeciastrona.pl osoba ta prawdopodobnie celowo zmieniła konfigurację serwera, umożliwiając dostęp do aplikacji z Internetu. Dane potencjalnego sprawcy zostaną przekazane organom ścigania wraz z zawiadomieniem o popełnieniu przestępstwa. Obecnie trwa dalsza szczegółowa analiza incydentu. Należy podkreślić, że w zaledwie części, widocznych przez krótki okres czasu, rekordów znajdowały się dane pozwalające na zidentyfikowanie konkretnej osoby. Nie jest więc prawdą, że do sieci trafiły dane osobowe 300 naszych Klientów. Było jedynie kilka prób dostępu do tych danych, przy czym w większości były to działania sprawcy oraz dostęp osób weryfikujących informacje o incydencie ze strony serwisów niebezpiecznik.pl i zaufanatrzeciastrona.pl oraz Netia. Dostęp do aplikacji został natomiast przez Netię zablokowany, jeszcze przed publikacją doniesienia w serwisach niebezpiecznik.pl i zaufanatrzeciastrona.pl. Trzeba przy tym podkreślić, że do wskazanej aplikacji można się było dostać wyłącznie znając konkretny, specyficzny URL a wyszukiwarki internetowe nie indeksowały jej w kontekście naszej firmy.

Jeśli chcecie, by Wasz zespół takiej wpadki uniknął, to wyślijcie ich na nasze szkolenie z bezpieczeństwa aplikacji WWW – już w październiku i w listopadzie w Warszawie.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 10 – 12 października 2017

Warsaw-center-free-license-CC0
Warszawa, 27 – 29 listopada 2017

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia