Trzy miesiące temu rozpoczęliśmy akcję piętnowania serwisów, przechowujących hasła klientów w sposób nie zapewniający odpowiedniego bezpieczeństwa. Wiele serwisów poprawiło swoje zabezpieczenia, jednak niektóre pozostają nieugięte.
Kiedy w sierpniu tego roku analizowaliśmy przypadki serwisów internetowych, którzy przechowują hasła swoich użytkowników w sposób nie zapewniający odpowiedniego poziomu bezpieczeństwa, zwróciliśmy uwagę na podobieństwo kilku sklepów w naszym zestawieniu. Oprócz tego, że sklepy te umożliwiały użytkownikowi przypomnienie hasła, przesyłając je emailem w jawnej formie, w każdym z nich panel przypominania hasła wyglądał bardzo podobnie. Krótka analiza wykazała, że wszystkie te sklepy działają na polskiej platformie IAI Shop.
IAI Shop to „największa w Polsce platforma do prowadzenia własnego sklepu lub hurtowni internetowej”. Według jednej ze stron projektu, obecnie pod kontrolą IAI działa 810 rożnych sklepów. Firma IAI oferuje usługę prowadzenia sklepu na własnych serwerach, z własnym wsparciem i obsługa techniczną. Oznacza to, że konfiguracja wszystkich sklepów jest bardzo podobna, różnią się one jedynie wyglądem interfejsu użytkownika.
Kiedy w sierpniu zauważyliśmy, że sklepy takie jak airsoftguns.pl, drumcenter.pl, ewa-michalak.pl, kurtmedia.pl, beateuhse.pl, sklep-presto.pl czy wolczanka.com.pl przesyłają hasła użytkowników otwartym tekstem, skontaktowaliśmy się z firmą IAI i poprosiliśmy o komentarz w tej sprawie. Szybko otrzymaliśmy informację, że odpowiedź otrzymamy później, ponieważ firma zajęta jest sporem z Google. Kiedy po 3 miesiącach przypomnieliśmy się ponownie, nie otrzymaliśmy już żadnej odpowiedzi.
Jak wskazał nam jeden z naszych czytelników, oprócz wysyłania haseł klientom otwartym tekstem, firma stosuje także inne, równie ciekawe praktyki związane z hasłami. Potrafi na przykład przesłać klientom link, automatycznie logujący użytkownika do jego konta. Link zawiera hash hasła (wygląda jak MD5, ale prawdopodobnie solony).
http://sklep.vistula.pl/[email protected]&passwordh=a336da7bfebd0213fd2b3c85d44ab6f2
Co prawda solenie hasha powoduje, że hasło nie jest łatwe do odzyskania, ale po kliknięciu w link przenosimy się do zalogowanej sesji w serwisie, gdzie wystarczy odwiedzić stronę
http://adressklepu.pl/client-new.php?edit
by w kodzie HTML zobaczyć hasło użytkownika zapisane ponownie otwartym tekstem.
Nie musimy chyba mówić, że link nie wygasa po jego użyciu – możliwe jest wielokrotne logowanie się za jego pomocą. Rozwiązanie nad wyraz kuriozalne z punktu widzenia bezpieczeństwa – po co w takim razie wysyłać solony hash, skoro kliknięcie w link podaje treść hasła? Jeśli z usług firmy IAI korzysta 810 sklepów, to dane ilu klientów przechowywane są w sposób urągający podstawowym zasadom bezpieczeństwa? Jak długo jeszcze ci klienci będą musieli czekać na stworzenie procedur zapewniających poufność ich haseł? Ciągle czekamy na odpowiedź firmy. Na zakończenie jeszcze tylko przypomnijmy zapis z polityki prywatności IAI:
IAI S.A. nie odpowiada za błędy właścicieli sklepów korzystających z IAI-Shop.com, jeżeli to z ich winy zasady poufności gromadzonych informacji nie zostaną zachowane. W szczególności odradzamy wykorzystywanie jednego konta użytkownika panelu administracyjnego, zapisywania i podawania publicznie hasła. Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili i przy pomocy komunikatorów internetowych.
Ze względu na kontakt ze strony Niebezpiecznika wycofujemy teorie spiskowe :)
Komentarze
Fajny regulamin :)
Ciekawe, ciekawe…. Sytuację sporu z Google opisałem na swoim blogu. Sprawa była głośna, ale coś za szybko przycichła. Może dlatego, że była bardziej PRowa niż „realna”?
aaa IAI jeszcze żyje? Myślałem że dawno się zawinęli :)
Tylko, że to nie regulamin tylko fragment polityki prywatności, czyli polityki względem informacji w kopii danego sklepu. A ten fragment, który przytaczacie to fragment w którym firma nie odpowiada za bezpieczeństwo danych, jeżeli hasło do panelu administracyjnego (które nigdzie akurat nie idzie jawnym tekstem) zostanie komuś udostępnione. Jak kręcicie aferę to przynajmniej solidnie. Mam sklep w IAI i piszecie głupoty po prostu.
1. Wyraźnie napisaliśmy, że to fragment polityki prywatności.
2. Nigdzie nie napisaliśmy, że w tym cytacie chodzi o hasła klientów.
3. Czemu firma stosuje różne standardy zależnie od tego, czy to hasło administratora czy klienta?
Jakie Twoim zdaniem konkretnie głupoty piszemy? Może hasła Twoich klientów są hashowane?
Głupoty, to wypisuje Pan, Panie Sebastianie. Polityka prywatności przedstawiona na stronie IAI Shop dotyczy klientów IAI Shop, czyli Was – właścicieli sklepów internetowych. Dokładnie: „Niniejszy dokument określa sposób postępowania z informacjami gromadzonymi przez firmy, będące klientami IAI w ramach wykupowanych kopii systemu IAI-Shop.com. „.
A fragment „IAI S.A. nie odpowiada za błędy właścicieli sklepów korzystających z IAI-Shop.com, jeżeli to z ich winy zasady poufności gromadzonych informacji nie zostaną zachowane. W szczególności odradzamy wykorzystywanie jednego konta użytkownika panelu administracyjnego, zapisywania i podawania publicznie hasła. Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili i przy pomocy komunikatorów internetowych.” nie dotyczy tylko i wyłącznie hasła administratora sklepu, ale ogólnie wszystkich gromadzonych przez Was danych – co i tak jest śmieszne, bo dane są gromadzone na serwerach IAI Shop. Więc za przesyłanie maili do klientów z czystym hasłem teoretycznie podlega pod Wasz błąd.
Poza tym Panie Sebastianie, skąd ma Pan pewność, że Wasze hasła (hasła adminów) są szyfrowane? I co oznacza „nigdzie nie idzie jawnym tekstem”? Są szyfrowane podczas przesyłania, a do Was dochodzą rozszyfrowane? Czy dostajecie hash hasła i róbta co potrafita?
Jeżeli nawet hasła adminów są szyfrowane, to dlaczego hasła klientów nie mogą być szyfrowane?
Panie Sebastianie, IAI ma politykę, że prowadzi sklepu dla „technologicznych laików”. Pan nic nie musi robic, oni zrobia wszystko za Pana. Jeśli ma Pan tam sklep, znaczy że sam Pan swojego nie potrafił zorganizować. W związku z tym ma Pan kiepską wiedzę na ten temat – to po co ta wypowiedź? Pan jest najprawdopodobniej handlowcem, który sprzedaje (albo podstawionym obrońcom).
ZTS a czy przypadkiem allegro tez nie przetrzymuje hasel w otwartym tekscie, albo przynajmniej administratorzy i operatorzy nie maja podgladu do hasel uzytkownikow przez system administracyjny? Bo takie informacje sie przebijaly :]
Wg posiadanych przez nas informacji Allegro i Gadu Gadu kiedyś trzymały hasła klientów otwartym tekstem/zaszyfrowane. Gadu Gadu na dokładkę potrafiło wysłać przypomnienie hasła emailem. Obecnie oba serwisy haseł nie wysyłają… A porównać, które konta korzystają z tego samego hasła, można na szczęście porównując hashe – i miejmy nadzieję, że tak się to odbywa :)
to czy hash w linku jest osolony czy nie mozecie sprawdzic majac haslo – zrobcie jego skrot i porownajcie? :)
Sprawdzaliśmy skrót hasła, emaila, hasła+emaila, hasła z różnymi maskami do 4 znaków z każdej strony, podwójnego hasła… :) Może zatem być solidna sól, więcej niż 1xMD5 lub inne sztuczki.
A czy bezpieczniejsze jest solenie hasła za pomocą dwóch soli, z czego jedna sól jest unikatowa dla każdego usera i trzymana tylko w bazie danych?
Dwie sole mają jakiś sens w konfiguracji:
– sól dynamiczna, unikatowa dla każdego konta, przechowywana w bazie (uniemożliwia atak rainbow tables)
– sól statyczna, przechowywana w pliku (uniemożliwia atak, jeśli atakujący ma dostęp tylko do bazy).
Tak czy inaczej, lepiej do tego hashować czymś praktycznie uniemożliwiającym szybkie łamanie – PBKF2, bcrypt, scrypt z odpowiednią liczbą rund.
Proponuję też przyjrzeć się sklepom RedCart http://redcart.pl/catalog/shops/grafika_sklepu.html . Po założeniu konta sklep przesyła nam hasło jawnym tekstem, chociaż nie oferuje przypominania, a jedynie reset. Sam nie wiem co o tym myśleć, ale z deka się zdziwiłem jak założyłem konto w jednym z tych „7000” sklepów i dostałem swoje hasło w mailu.
Wysyłanie hasła w momencie rejestracji jeszcze nie przesądza o tym, czy jest ono bezpiecznie przechowywane – zawsze można je jednocześnie wysłać i zapisać hashowane w bazie. Oczywiście lepiej nie wysyłać :)
Oczywiście że o niczym nie przesądza. Tylko czy platforma obłsugująca 7000 sklepów będzie wysyłać maile synchronicznie podczas zakładania konta? Mi to wygląda na periodyczny task, bo po założeniu konta mail dociera dopiero po kilku minutach.
A ilu z Was bawi sie w odzyskiwanie hasla zahashowanego? Ja nigdy. Po drugie to logowanie via Facebook ktore w naszym sklepie jest wlaczone rozwiazuje problem zapamietywania hasla i braku jego posiadania przez sklep. Haslo jest trzymane przez zaufana trzecia strone. Hashowanie to nie jest zaufana trzecia strona. Ta strona powinna sie wiec nazywac hashowanastrona.pl
Na deser to slabo odrobiliscie lekcje, bo IAI obsluguje 2000 sklepow internetowych
A czy temu problemowi w IAI nie powinien przyjrzeć się Generalny Inspektor Ochrony Danych Osobowych (GIODO)? W końcu tam są moje i innych dane osobowe i to bardzo dokładne! Skoro nie są w należyty sposób zabezpieczone, skoro IAI nie reaguje na monity portalu, to może portal powinien przekazać sprawę GIODO?
A co GIODO sprawdza jakiej metody zabezpieczenia hasel uzywasz? czy hashujesz czy szyfrujesz? mają być zabezpieczone po prostu
Daniel: ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, część C załącznika, pkt XIII:
Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
Login i hasło to dane wykorzystywane do uwierzytelnienia. Przesyłanie pocztą elektroniczną to przesyłanie w sieci publicznej. Ale niech już GIODO sam oceni, czy IAI łamie wymogi rozporządzenia, czy nie.
Widzę, że IAI Shop ciągle w formie. Pisałem już kiedyś o problemach bezpieczeństwa sklepu na tym silniku (drumcenter). Jak widać nic się nie zmieniło, nikt się nie przyznał do błędu, jedynie drumcenter poinformowało mnie że prowadzi rozmowy z IAI w sprawie bezpieczeństwa haseł.
http://www.iai-shop.com/pr-press-release.phtml?id=1235324199
Damn, ten g*wniany formularz nie chce samego linka przyjąć. W dodatku emaili zgodnych z RFC 5322 też nie akceptuje.
Pan P.K zamieścił odpowiedź sklepu a nie dał źródła do waszej strony.. Ja bym się wkur….
obojetnie w jakim sklepie się zarejestrujemy czy obojetnie jaki email uzyjemy hash dla danego hasła, będzie zawsze taki sam
Lol? Hash dla danego hasła nie zawsze będzie taki sam, bo nie każdy serwis korzysta z takiego samego hashowania haseł… Wystarczy dodać sól statyczną lub dynamiczną i już hash jest inny. Więc sry, ale pier****sz.
Może kolega miał na mysli, że w każdym sklepie IAI hasło xxx generuje hash yyy bez względu na sklep i adres email? To by oznaczało stałą sól identyczną dla każdego klienta i sklepu.
przepraszam ze zepsuje teorie spiskowa ;] ale twoj komentarz wisi[al] w moderacji bo tak mamy skonfigurowanego wp [Comment author must have a previously approved comment]. nie dodawales wczesniej komentarzy wiec wpadles w przymusowa moderacje [dobrze nam to odsiewa spam i jestem pewien że wy też stosujecie tu takie ustawienie wiec nie rozumiem skad zaskoczenie ;] tak czy inaczej, zatwierdzilem juz twoj komentarz. co do braku linka to sorry ale nie sledzilem was do tej pory dokladnie [juz dodaje do rss i obiecuje czytac kazdy post ;] a namiar na oswiadczenie iai przylecial do redakcji przez formularz kontaktowy bez info, ze to wy zapoczatkowaliscie akcje. zaraz postaram sie dorzucic do tekstu link do was.
pozdrawiam vi.curry
ps ten komentarz chyba z 3 razy probowalem dodac i nie pojawia sie na stronie ani nie ma info o kolejce moderacji ;]
Dzięki za kontakt i wyjaśnienie. I linka :)
A komentarz o moderacji nie wyskakuje, jak trafia do spamu… :)
Pozdrawiam,
Adam
No i jest komentarz od GIODO
http://di.com.pl/news/46935,0,IAI-Shop_mocno_skrytykowane_przez_GIODO.html
Jakby nie patrzyć pewien przełom w sprawie jest. Zobaczymy tylko czy zostaną z tego wyciągnięte wnioski i jak wszystko to się zakończy.
W nawiązaniu do artykułu inforuję, że strona https://importer.paczkawruchu.pl/ 1. przypomina hasła czystym tekstem, 2. nie można zmienić hasła!!!!!!!! 3. nie można usunąć konta.