„Nie może Pan zmienić swojego hasła, bo to niebezpieczne”, czyli kuriozum roku

dodał 9 sierpnia 2012 o 08:18 w kategorii Top, Wpadki  z tagami:
„Nie może Pan zmienić swojego hasła, bo to niebezpieczne”, czyli kuriozum roku

Kiedy opisywaliśmy jak różne serwisy wysyłają hasło otwartym tekstem swoim użytkownikom, nie sądziliśmy, że trafimy na przykład jeszcze gorszych praktyk z obszaru bezpieczeństwa. O tym, jak bardzo się myliliśmy, poinformował nas nasz czytelnik.

Mieszka on w budynku zarządzanym przez firmę J.W. Construction. Jak na nowoczesną firmę przystało, udostępnia ona mieszkańcom zarządzanych przez siebie nieruchomości internetowy system, w którym mogą poczytać regulamin mieszkańca, obejrzeć najnowsze ogłoszenia, ale także sprawdzić stan rozliczeń ze wspólnotą czy też swój stan posiadania.

Każdy mieszkaniec otrzymuje od administracji swój unikatowy login oraz hasło do systemu. Są to losowo wygenerowane ciągi po 8 znaków alfanumerycznych każdy. Umożliwiają zalogowanie do dwóch systemów. Pierwszy z nich to Moje Osiedle, udostępniający dane kontaktowe firm obsługowych, regulaminy i ogłoszenia, gdzie można także zobaczyć imię i nazwisko użytkownika.


System Moje Osiedle

Ten sam login i hasło umożliwiają także dostęp do drugiego systemu, WEB Lokator, gdzie dla odmiany możemy poznać takie dane jak:

  • adres posiadanego lokalu
  • spis posiadanych pomieszczeń
  • saldo rozliczeń finansowych wraz ze szczegółami naliczeń
  • wezwania do spłaty należności


System WEB Lokator

W menu systemu znajduje się także opcja „Zmian hasła”. Nasz czytelnik postanowił skorzystać z tej opcji, ponieważ nie czuł się komfortowo ze świadomością, że ktoś może poznać jego hasło przekazane mu przez administrację. Wolał ustawić swoje. Wszedł zatem do menu zmiany hasła i przez chwilę trzymał się mocno krzesła, by nie stracić równowagi.


Wymagania wobec hasła

Tak, to nie jest wynik pracy w Photoshopie. Kryteria hasła to: minimalna długość 1, maksymalna długość 8 oraz brak jakichkolwiek wymagań złożoności (wszystkie zostały jednak pieczołowicie wyliczone). Najlepsza niespodzianka czekała jednak na koniec. Kiedy nasz czytelnik skonstruował już hasło spełniające wszystkie wymagania (np. „a”), zobaczył ten komunikat.


Komunikat systemu

Na szczęście nie poddawał się tak łatwo i napisał do administracji, że chciałby jednak zmienić hasło w systemie. Po wymienieniu kilku wiadomości otrzymał w końcu wiążącą odpowiedź, którą wklejamy w całości, bo jest tego warta.


Odpowiedź JW Construction

Tak, proszę Państwa, hasła nie można zmienić. Pomijając już fakt, że „zmiana hasła spowoduje znacznie wydłużenie się wszelkich procesów” (?!?), to spowoduje także „dodatkowe niebezpieczeństwo ingerencji w bazę Web Lokator przez osoby niepożądane„. Zablokowanie zmiany hasła stwarza lepszą ochronę danych klientów!


Jedyny pasujący mem

Przyznajemy, że trudno znaleźć nam wytłumaczenie powyższego emaila. Być może twórca systemu obawiał się, że nasz czytelnik wykorzysta pole „nowe hasło” do przeprowadzenia ataku typu SQLi lub CSRF? Może Wy macie jakiś inny pomysł?