21.09.2017 | 22:56

Adam Haertle

Dane osobowe klientów Netii ujawnione publicznie w systemie serwisowym

Czasem można trafić w sieci na strony, których już samo istnienie w formie publicznie dostępnej stanowi spore zaskoczenie i zagadkę. Nie inaczej było w przypadku systemu zgłoszeń serwisowych Netii zawierającego dane klientów.

Jeden z naszych Czytelników podesłał nam linka do pewnej witryny. Okazało się, że po wykonaniu kilku trywialnych kroków każda osoba znająca ten adres mogła, bez żadnego uwierzytelnienia, poznać treść zgłoszeń przekazywanych między pracownikami Netii i często zawierającymi dane abonentów firmy.

Co w internecie robi ta witryna

Link przekazany przez Czytelnika o treści

http://zglos.dtwk.pl

przekierowywał na adres

http://zglos.dtwk.pl/piernik.php

który z kolei wyglądał tak:

W oparciu o wskazówkę Czytelnika wpisaliśmy w pole adres email o treści [email protected] i wysłaliśmy formularz. W odpowiedzi otrzymaliśmy taką stronę:

Pozostało już tylko przejść do zgłoszenia by zobaczyć ten oto interfejs:

To nie wyglądało dobrze. A kliknięcie w guzik „Zobacz 300 ostatnich zgłoszeń” pokazało nam to, co obiecywało – 300 świeżych zgłoszeń od klientów. Na przykład takich:

lub takich:

Zgłoszenia miały różną zawartość – często występowały w nich numery telefonów, czasem także adresy email, świadczenia usług itp. Dodatkowo w tabelce były także personalia osób przyjmujących zgłoszenia.

A to nie koniec

Temat szybko zgłosiliśmy Netii (dziękujemy za ekspresowy kontakt), a w tym samym czasie przyjrzeliśmy się domenie dtwk.pl i innym jej subdomenom. Trafiliśmy tam między innymi na taki serwis:

Danych klientów było tam dużo mniej, ale nadal były one dostępne publicznie. Na innej stronie znaleźliśmy interfejs do zarządzania grafikami zespołu:

Po co to jest w sieci

Na wielu innych witrynach w tej samej domenie trafiliśmy na przeróżne komunikaty wskazujące, że witryny te w ogóle nie powinny być dostępne z sieci publicznej. Poniżej mała galeria wariantów ostrzeżeń i paneli logowania:

Nie mamy pojęcia, dlaczego i w jaki sposób opisywane powyżej witryny zostały udostępnione w publicznej sieci. Nie był to chyba najlepszy pomysł. Netia na nasze zgłoszenie zareagowała bardzo szybko – w ciągu kilkudziesięciu minut strony zostały zablokowane.

Podstawy podstaw

Znalezienie w Google witryn dużej firmy udostępniających bez uwierzytelnienia dane osobowe klientów nie powinno mieć miejsca w XXI wieku – ale niestety nadal się zdarza. Strach pomyśleć, co by było, gdyby ktoś przetestował te strony pod kątem ataków SQLi lub podobnych. Netia miała już w swojej historii podobne przypadki – i nie kończyły się one zbyt dobrze.

Oficjalny komentarz Netii
Według naszych wstępnych ustaleń, rzekoma luka w dostępie do wewnętrznej aplikacji – wspierającej pracę konsultantów pomocy technicznej – była wynikiem celowego działania zidentyfikowanej już przez nas osoby (były pracownik, z którym kilka miesięcy temu rozwiązaliśmy umowę o pracę). Na krótko przed przekazaniem informacji serwisom niebezpiecznik.pl i zaufanatrzeciastrona.pl osoba ta prawdopodobnie celowo zmieniła konfigurację serwera, umożliwiając dostęp do aplikacji z Internetu. Dane potencjalnego sprawcy zostaną przekazane organom ścigania wraz z zawiadomieniem o popełnieniu przestępstwa. Obecnie trwa dalsza szczegółowa analiza incydentu. Należy podkreślić, że w zaledwie części, widocznych przez krótki okres czasu, rekordów znajdowały się dane pozwalające na zidentyfikowanie konkretnej osoby. Nie jest więc prawdą, że do sieci trafiły dane osobowe 300 naszych Klientów. Było jedynie kilka prób dostępu do tych danych, przy czym w większości były to działania sprawcy oraz dostęp osób weryfikujących informacje o incydencie ze strony serwisów niebezpiecznik.pl i zaufanatrzeciastrona.pl oraz Netia. Dostęp do aplikacji został natomiast przez Netię zablokowany, jeszcze przed publikacją doniesienia w serwisach niebezpiecznik.pl i zaufanatrzeciastrona.pl. Trzeba przy tym podkreślić, że do wskazanej aplikacji można się było dostać wyłącznie znając konkretny, specyficzny URL a wyszukiwarki internetowe nie indeksowały jej w kontekście naszej firmy.

Jeśli chcecie, by Wasz zespół takiej wpadki uniknął, to wyślijcie ich na nasze szkolenie z bezpieczeństwa aplikacji WWW – już w październiku i w listopadzie w Warszawie.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 10 – 12 października 2017

Warsaw-center-free-license-CC0
Warszawa, 27 – 29 listopada 2017

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia
Powrót

Komentarze

  • 2017.09.21 23:17 Ops

    Świzdu gwizdu dane poszły w pizd*

    Odpowiedz
  • 2017.09.21 23:56 Adrian

    To nie strona do zgłaszania a do ponaglania zgłoszeń.

    Jej adres znali tylko pracownicy.

    Odpowiedz
    • 2017.09.22 14:20 Mały

      Chyba nie tylko (jak widać na załączonych obrazkach).

      Odpowiedz
    • 2017.09.22 14:38 Adam

      Przecież to jest totalna amatorszczyzna. Jeśli coś jest ogólnodostępne w internecie to prędzej czy później ktoś to znajdzie, nie ma znaczenia, że strona jest przeznaczona tylko dla pracowników Netii. Jeśli powinni mieć dostęp do niej tylko pracownicy to należy ją zabezpieczyć w taki sposób, by uniemożliwić osobom postronnym dostęp. A jak widać w tym artykule tak nie było.

      Lepsze zabezpieczenia już miały moje pierwsze pseudo-strony pisane na zaliczenie na pierwszym roku studiów…

      Odpowiedz
      • 2017.09.25 09:49 Piotrek

        Co się dziwisz, wszystkich lepszych wywali w programie zwolnień grupowych jakiś czas temu. Wyznacznikiem była pensja. To teraz nasz takie kwiaty.

        Odpowiedz
  • 2017.09.22 00:58 grekus

    Pomijajac to, ze te witryny byly dostepne publicznie i wygladaja jakby stworzono je w 1980 roku, to mi przychodzi jescze jedno WTF:
    piernik?
    ciastko zostalo upieczone?
    Co to kurna jest?

    Odpowiedz
    • 2017.09.22 07:23 Damian

      W mojej firmie pracowali jakiś czas temu graficy którzy nie chcieli się bawić w FTP więc znaleźli skrypt w PHP, wrzucili na serwer i on ładował obrazki na FTP, a w odpowiedzi wyrzucał do nich link. Był to skrypt zrobiony przez fana gwiezdnych wojen, bo wszędzie były teksty w stylu: „Jeśli chcesz załadować zdjęcia, musisz naprawde tego chcieć.
      Zamknij oczy, poczuj sie Jedi a zdjęcie zaraz będzie na serwerze.”

      Oczywiście skrypt sobie latał dostępny z zewnątrz bo siedział na serwerze, miał tylko ograniczenie rozszerzenia pliku, ale tyle razy było na Z3S wspominane jak to ominąć, że to nie było żadne ograniczenie.

      Odpowiedz
      • 2017.09.22 11:08 pentester

        To jest ograniczenie. Wszystko zależy jak ten skrypt jest napisany. Nie każdy uploader da się obejść, raczej bardzo małą ich część.

        Odpowiedz
  • 2017.09.22 01:27 markac

    Chory kraj, każdy ma w d… jakąś tam ochronę danych osobowych.
    Po co zatrudniać specjalistę w danej dziedzinie, jak można wziąć kogoś na staż za darmo.
    Oczywiście takie osoby też powinny pracować, ale powinny mieć opiekuna i tworzyć takie pożal się boże panele admina w sieci lokalnej, a nie udostępniać publicznie…
    Niby tyle kursów i szkoleń z zakresu bezpieczeństwa, ale jak kierownik projektu czy ktokolwiek kto w min. stopniu poczuwa się do min. odpowiedzialności (tekst Durczoka :) za takie projekty w firmie ma to totalnie w d. to mamy takie efekty.
    Jak widać, „programista” z kiepskim poczuciem humoru (powinien zostać piekarzem) miał wolną rękę i robił co chciał.
    Testy? A na co to komu, żadna kara przecież firmy za to nie spotka.

    Odpowiedz
  • 2017.09.22 03:31 marianZ

    Dlaczego to można się domyślać, możliwe, że eksperymentowali, niech się wypowie jakiś ex-pracownik co mu się lojalka skończyła, z pracą zdalną lub zamykaniem zgłoszeń (o ile to te zgłoszenia) przez PDA u serwisanta, a szef kazał to otworzyli stosowny port stosownego komputera otwierając cały podsystem. Natomiast dlaczego nie użyli do tego VPNa jest sprawą dziwną, bo to jest z reguły standard.

    Odpowiedz
  • 2017.09.22 07:53 jjj

    Ta firma powinna sobie w łeb strzelić!
    Kretyni!
    Juz raz moje dane wyciekły przez papudraków!

    Odpowiedz
  • 2017.09.22 08:32 Q

    i jeszcze inne kwiatki są w sieci

    https://start.futuro.pl/admin.php
    gdzie futuro.pl >> netia.pl

    Odpowiedz
  • 2017.09.22 09:24 c

    – piernik
    – ciastko upieczone
    – taka formatka
    – zgłaszaczka

    Nawet na wewnętrzną, jakąś poboczną witrynę to brzmi…
    No koń jaki jest, każdy widzi :)

    Odpowiedz
  • 2017.09.22 10:53 dobaczenko

    Było pewnie tak. Jakiś pracownik zrobił w intranecie portal dla CC (różne funkcje, w tym grafikowanie itp.). Minęło kilka lat, pracownik może odszedł, portal został. Ktoś u władzy wpadł na pomysł że portal znacznie ułatwia prace w CC wewnętrznym, więc udostępnijmy go dla zewnętrznych CC. Dyrektor wydał polecenie, pewnie prezes się uśmiechnął na niskie koszty więc IT zgodnie z poleceniem wystawiło serwis (który może wcześniej nie miał nawet domeny) na świat. A tymczasem serwis zapewne nigdy nie miał działać poza departamentem. IT pewnie nie wiedziało jakie dane przetwarza serwis, biznes nie miał pojęcia co to znaczy udostępnienie serwisu…

    Odpowiedz
    • 2017.09.22 14:03 lubieplacki

      Z tego co wiem teoria ta jest jak na razie najbliższa prawdy.

      Odpowiedz
    • 2017.09.22 16:42 crpz

      Portale były ukryte za siecią, ktoś grzebał (zmiana tła, dodanie checkboxa) i sie zajebał nie ukrył, tyle. Z afery jest to ważne, że żaden bezpiecznik się nie zorientował że wewnętrzne adresy które były w sieci korpo, znalazły się nagle poza nią – tyle z monitorowania sieci.
      Nawet gdyby netia miała zewnętrzne cc – którego nie ma, to dawniej i teraz wszystkie są łączą zdalnie przez sieć korpo. Wypłynięcie tych portali to błąd ludzki, pytanie czy netia będzie się bawić w dochodzenie, czy jak zwykle zamiecie wszytko pod dywan.

      Odpowiedz
  • 2017.09.22 10:57 Duży Pies

    Adam na stronki Netii wchodzi przez Tora, jak na bezpiecznika przystało ;)

    Odpowiedz
    • 2017.09.24 12:40 mati

      to odpowiedzialne, tak dzielić się niezałataną podatnością z exit nodem?

      Odpowiedz
      • 2017.09.24 20:25 Duży Pies

        Nie pisz głupot!
        Myślisz że Torowy exit node zaszkodzi tej dziurawej stronie na którą z clearnetu wejdziesz z najbardziej zadupiastego miejsca na Ziemi?
        .
        A byłem kiedyś klientem tego telekomu… Ale teraz, w ni chu chu, nie chcę ich znać!

        Odpowiedz
  • 2017.09.22 17:55 Maciej

    piernik.php – to ma być zabezpieczenie (hasło nie do złamania). Tfu – to nie jest hasło tylko nazwa pliku php. Dno

    Odpowiedz
  • 2017.09.22 18:20 A

    „rzekoma luka” – aha, czyli wystawienie wszystkich danych klientow jest o dzis „rzekoma” luka.

    JA PIERD..E!!!

    Odpowiedz
  • 2017.09.22 19:53 rozie

    Wyjaśnienie Netii pachnie ściemą. Wystarczy zobaczyć, z kiedy pochodzą dane zaindeksowane przez wyszukiwarkę, albo wręcz z kiedy jest cache Google (widzę połowę lipca)…

    Nawiasem ciekawe czy robią coś z tym, że numer p. Marioli jest widoczny w wynikach wyszukiwania…

    Odpowiedz
  • 2017.09.25 10:24 marek

    Co tam u was siedzie na infie

    Odpowiedz

Zostaw odpowiedź do Ops

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dane osobowe klientów Netii ujawnione publicznie w systemie serwisowym

Komentarze