Zdawałoby się, że w 2018 roku firmy będą na tyle świadome zagrożeń związanych z przesyłaniem haseł drogą mailową, że praktyka ta odejdzie do lamusa. Nic bardziej mylnego, jak mawia pewien youtuber.
Jeden z naszych Czytelników miał problem ze zmianą hasła na koncie „Mój T-Mobile”. Sytuacja się powtarzała, dlatego wysłał maila do Biura Obsługi Abonenta. W odpowiedzi przeczytał, że „o nieprawidłowym działaniu aplikacji należy poinformować techników, jednak w tym celu niezbędne jest podanie danych identyfikacyjnych”. Jakich? Konsultant poprosił, by Czytelnik mu przesłał:
- numer telefonu,
- imię i nazwisko właściciela,
- hasło abonenckie lub numer PESEL.
„Niepoważnym jest proszenie klienta o odesłanie mailem danych go identyfikujących, w tym jakiegokolwiek hasła. To jest naruszenie podstawowych zasad bezpieczeństwa” – zbulwersował się Czytelnik. Od konsultanta dowiedział się: „Jeśli chodzi o hasło abonenckie, to jest to hasło ustalane przy zawieraniu umowy lub rejestracji karty SIM właśnie z przeznaczeniem do weryfikacji kontaktu z operatorem T-Mobile”. W rezultacie Czytelnik zgłosił się do nas.
T-Mobile nie widzi problemu
Jak zawsze w przypadku budzących kontrowersje praktyk, wysłaliśmy stosowne zapytanie do firmy, która je stosuje. Odpowiedział nam Piotr Żaczko z biura prasowego T-Mobile:
Pytanie o hasło jest uzasadnione – jest to element identyfikacji Klienta. Jest to potwierdzenie, że Klient jest osobą upoważnioną do dokonywania zmian na koncie. Co ma istotne znaczenie, jak w tym przypadku, gdy chodziło o zmiany w aplikacji selfcare.
Hasło, które ustanawia Klient podczas podpisywania umowy, służy do weryfikacji kontaktu Klienta z nami – telefonicznie/mailowo/pisemnie. Jest to powszechną praktyką. W serwisach samoobsługowych potwierdzenie następuje po wprowadzeniu hasła jednorazowego, przesłanego na telefon Klienta, nie autoryzuje się hasłem abonenckim.
Problem jednak jest
Temat przesyłania haseł otwartym tekstem towarzyszy Zaufanej Trzeciej Stronie od zarania jej dziejów. Jak słusznie zauważył Czytelnik, przekazywanie tak istotnych danych nieszyfrowanym kanałem urąga podstawowym zasadom bezpieczeństwa. Najczęściej w takim przypadku mówi się o możliwości podsłuchu – jest to oczywiście wykonalne, choć w kontekście codziennego korzystania z internetu raczej mało prawdopodobne. Warto natomiast mieć na uwadze, że w przypadku włamania do skrzynki pocztowej atakujący znajdzie hasło abonenckie w treści wysłanej wiadomości i będzie mógł je wykorzystać, np. do przekierowania połączeń telefonicznych, a stąd już prosta droga do dalszych ataków.
Autorka niniejszego artykułu współpracowała wcześniej z Dziennikiem Internautów, gdzie także niejednokrotnie o tym pisała. Wymieniła przy tym szereg maili z biurem prasowym Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jedną z otrzymanych odpowiedzi warto zacytować:
Zadaniem administratora danych jest zastosowanie takich środków, które zapewnią odpowiedni poziom bezpieczeństwa danych przetwarzanych w systemach informatycznych. Do środków tych należy zaliczyć w szczególności stosowanie kryptograficznej ochrony danych podczas ich przekazywania (transmisji) między komputerem użytkownika i serwerem administratora danych oraz stosowanie funkcji skrótu (nazywanej niekiedy funkcją mieszającą lub haszującą) do kodowania hasła dostępu użytkownika w bazie danych systemu.
Publikacja artykułu zawierającego tę opinię skutkowała pozwem ze strony firmy, której dotyczyła. Wyrok sądu potwierdził jednak rzetelność krytyki stosowanych przez nią praktyk, m.in. przesyłania haseł w postaci jawnej. Opinia GIODO jest nadal aktualna. Nadchodzi jednak RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Czy to coś zmienia?
Ochrona haseł w kontekście RODO
O komentarz w tej sprawie poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa danych, autorkę serwisów Cyberlaw.pl oraz Pomocnik RODO. Uzyskaną odpowiedź publikujemy w całości:
Zgodnie z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i musi mieć możliwość wykazać ich przestrzeganie.
Na tle art. 24 RODO należy rozpatrywać realizację obowiązków określonych szczegółowo w przepisach dotyczących ochrony danych osobowych. Jednym z takich obowiązków jest uwzględnienie ochrony danych w fazie projektowania i jako opcji domyślnej – art. 25 RODO (obecnie należy dokonać rewizji działających systemów i poddać je analizie ryzyka i ocenie wpływu na prywatność, w tym procedurze PbD) czy stosowanie pseudonimizacji i szyfrowania danych osobowych oraz zdolność do ciągłego zapewnienia poufności – art. 32 ust. 1 i 2 RODO. Brak realizacji obowiązków prowadzić może nie tylko do nałożenia kary za każde nieprzestrzeganie obowiązku, ale także do naruszenia ochrony danych (np. nieuprawnione ujawnienie) i odpowiednio notyfikacji do organu nadzorczego lub podmiotu danych, co w konsekwencji też wpływa na ustalenie kary przez organ nadzorczy.
Mając powyższe przepisy na uwadze, jeżeli login i hasło jest przesłane e-mailem, będzie to prowadzić do naruszenia ochrony danych. Jeżeli login będzie podany na umowie, a hasło tymczasowe przesłane SMS-em nie będzie stanowiło to naruszenia (wykorzystano dwa różne kanały komunikacji do przekazania informacji, które są odseparowane i zapewniają poufność). Jeżeli login jest przesłany e-mailem, a użytkownik ma ustawić hasło przy pierwszym logowaniu po kliknięciu w link, przyjmuje się, że jest zapewniona poufność, o ile strona, na której ustawia hasło jest szyfrowana.
Analogicznie sytuacja wygląda, jeżeli prosimy o zmianę hasła. Najprościej, by użytkownik wygenerował link do zmiany hasła, jednak nie zawsze z uwagi na charakter, zakres, kontekst, cele przetwarzania będzie to sposób prawidłowy. Przykładowo w odniesieniu do danych szczególnych kategorii (np. dane o stanie zdrowia) lub danych o podwyższonym ryzyku (zgodnie z wykonaną analizą ryzyka, np. szeroko pojęte dane finansowe w banku). W takich przypadkach zasadnym będzie użycie drugiego faktora potwierdzającego wykonaną czynność. Rozwiązaniem może być podanie przez użytkownika na zaszyfrowanej stronie loginu oraz wpisanie nowego hasła i potwierdzenie zmiany kodem przepisanym z SMS-a.
Chcąc działać w zgodzie z prawem, firmy będą musiały dostosować się do powyższych zaleceń. Dotyczy to także T-Mobile. Zamiast prosić klienta o przesłanie hasła mailem, firma mogłaby np. przekierować go na bezpieczną witrynę, na której on sam podałby to, co trzeba. Inną opcją byłby kontakt z takim klientem – telefoniczny lub w aplikacji, rzecz jasna, z wykorzystaniem szyfrowania. Jakie jeszcze widzicie sposoby na rozwiązanie przedstawionego wyżej problemu? Chętnie poczytamy o nich w komentarzach.
Na koniec drobna sugestia: poszukajcie swego najpopularniejszego hasła we własnej skrzynce pocztowej i skasujcie wszystkie e-maile, które je zawierają. Jeśli zauważycie, że dostaliście je od jakiejś firmy w ostatnim roku, dajcie nam o tym znać – sprawdzimy, czy aby na pewno warto tej firmie powierzać swoje dane.
Komentarze
Aż się prosi o kontrolę mechanizmów identyfikacji i uwierzytelnienia w szerszym kontekście jako, że podmiot ten silnie integruje swoje usługi z bankiem T-mobile… Może analiza konsumencka jeśli żaden z instytucji właściwych nie widzi problemu?
Ten sam problem miałem w ubiegłym roku z Play. Również prosili o podanie wrażliwych danych w mailu:
'W przypadku zgłoszeń odnoszących się do Pani/Pana usługi prosimy o podanie poniższych danych weryfikacyjnych w treści wiadomości e-mail:
1. Klient indywidualny:
a) Hasło abonenckie zadeklarowane podczas podpisywania Umowy o Świadczenie Usług Telekomunikacyjnych
b) Numer telefonu/usługi lub numer klienta ( konta abonenckiego)
c) Imię i nazwisko właściciela usługi”
Kiedy się nie zgodziłem, zamiast tego zażądali jeszcze pełniejszych danych:
'Jeżeli nie zna Pan hasła, a jest Pan właścicielem numeru, proszę, żeby podał Pan:
– imię i nazwisko Właściciela usługi,
– numer usługi, której dotyczy sprawa
– PESEL,
– adres zameldowania/adres korespondencyjny
– serię i numer dowodu osobistego,
– numer bieżącej sprawy”
Nie podałem, nie dało się niestety sprawy załatwić inaczej i musiałem się do nich wybrać osobiście. Także praktyka raczej powszechna, pytanie czy na pewno słuszna i inaczej się nie da?
Play robi to dalej, nie dalej jak 3 tygodnie temu do zmiany danych mojej firmy oczekiwano ode mnie podania w treści maila hasła oraz peselu. Udało się w końcu telefonicznie problem rozwiązać, gdyż w salonie nie da się przeprowadzić danej procedury.
Ja miałem problem ze zmiana hasła w jednej z linii lotniczej, też mnie poproszono o podanie hasła… w końcu stanęło na jego resecie
Lepsze hasło per firma którego używa się raz na rok czy dwa niż PESEL czy nr dowodu. W przypadku tych drugich nikt nie widzi problemu a są wymieniane tymi samymi kanałami i dają te same uprawnienia. IMHO nie powinniśmy tego porównywać do hasła które wprowadzamy codziennie tylko do tych danych personalnych i wtedy to i tak jest krok w dobrą stroną, choć sposób wprowadzania nie idealny
Akurat PESEL jest jawny.
PESEL nie jest jawny – to akursy dane prywatne. Jawne są nip i region.
Otóż jest. Zajrzyj np. do księgi wieczystej swojego mieszkania lub innej nieruchomości, jeśli masz ;)
Masz pewność, że tak jest na księgach online? Pomijam płatne stronki z wywiezionymi bazami ksiąg wieczystych i ulokowanych na szeszelach.
Edukacja ludzi co jest prawdziwym zagrożeniem przy przesyłaniu haseł emailem zajmuje sporo czasu, ale miny mają bezcenne ;) Właśnie o to włamanie się na czyjąś skrzynkę chodzi, nie o NSA.
„Dla bezpieczeństwa, załączony PDF jest zaszyfrowany a hasło przesłaliśmy osobnym emailem”
„To może prześlę ci pół hasła jednym emailem a pół drugim?”
„Kawałek hasła emailem, kawałek smsem, część ci powiem szyfrem przez telefon” <– niedawno taką propozycję dostałem i byłem dumny ;-)
Ludzie nawet nie wiedzą jak robią risk management, tylko trzeba ich pokierować.
To jeszcze nic, konsultant T-mobile ze świadomością nagrywania rozmowy będzie wmawiał, że faktura według przepisów nie musi mieć numeru NIP.
Zgodnie z przepisami ustawy o podatku od towarów i usług art. 106e ust. 1 faktura powinna zawierać co najmniej: (…) numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku(…)
czyli NIP lub PESEL
Faktura VAT dla osoby fizycznej nie musi zawierać ani NIP ani PESEL. Proszę doczytać stosowne ustawy oraz komentarze prawników.
Pewna sieć telekomunikacyjna zadzwoniła do mnie z „oferta handlowa”. Problem w tym że zrobili to z numeru innego niż numer infolinii. Mało tego. Chcieli moje imię, nazwisko i hasło abonenckie (!!!), W sytuacji gdy ONI do mnie dzwonili z jakiegoś dziwacznego numeru! Zrobiłem awanturę na infolinii i jedyne czego się dowiedziałem to to, że nie zweryfikują numeru z którego ktoś do mnie dzwonił i wyłudził moje dane (głupi ja), więc tak de facto nawet nie mam pewności czy nastąpił wyciek czy nie (!!!), bo nie wiem nawet czy osoba z którą rozmawiałem faktycznie była osobą upoważniona przez sieć do rozmowy ze mną. W sumie jedyne co załatwiłem to zastrzeżenie zgod na jakikolwiek kontakt z ich strony. Jakby coś, chętnie podzielę się szczegółami na mejlu.
PS w sumie powinienem zgłosić sprawę na policję żeby mieć choć cień szansy na to że zweryfikują ten numer; może jak im się policja odezwie w kwestii tego numeru to się ogarną
Jakie jest hasło na piśmie od T-mobile? „LIFE IS FOR SHARING.” a tu się autorka czepia ;)
Gameforge oraz sklep internetowy Gral.pl wysyłają przy rejestracji hasło cleartextem.
Haha, jak dostaję skadś moje hasło mailem (oczywiście któreś z listy tych mniej ważnych) to i tak w trybie PANIC! kasuję i jeszcze usuwam z kosza.
Ale na waszą prośbę sprawdziłem i mam jakieś w mailu jeszcze z 2012, z trzech sklepów i widać, że na tym samym systemie działały..
Sprawdzę jak jest teraz i dam znać jeśli nic się nie zmieniło ;)
Nie tylko T-Mobile ma takie pojęcie o bezpieczeństwie. Ostatnio zgłaszałem reklamację w Play i dostałem bardzo podobną prośbę od BOK – przesłać im PESEL, Nazwisko i hasło do zarządzania usługami… W odpowiedzi wysłałem im pytanie, czy na pewno dobrze się czują prosząc o hasło w mailu? Odpowiedzi brak
Dobry pomysl z tym haslem i szukaniem na mailu :)
Odnosnie komentarza p. Beaty (przy całym szacunku do jej osoby):
– nie „faktora” tylko „czynnika” :)
– „o ile strona, na której ustawia hasło jest szyfrowana” raczej „o ile strona, na której ustawia hasło wymusza szyfrowanie połączenia”. Pod koniec tekstu jest ten sam problem.
Do redaktorów z3s: proszę przenoście jednoznaki, rażą te wszystkie „i” na końcach zdań.
Co do T-Mobile: nieporozumieniem jest dopiero uwierzytelnienie przez PESEL, który jest JAWNY, zwłaszcza dla członków rad nadzorczych i zarządów. Niestety, więcej firm niż T-mobile winna temu grzechowi.
Niektóre sklepiki tak mają, że zaraz po rejestracji przesyłają maila z informacją: twój login to xxxxxxx, twoje hasło to yyyyy.
Na szczęście po szybkim zalogowaniu się i zmianie hasła już tego zmienionego mailem nie przesyłają.
Z tego co znalazłem robiły tak: garneczki.pl muza.com.pl – ale może już się poprawiły.
Hej, a jak się mają sprawy z przymusem kserowania Dowodów Tożsamości przez banki w świetle nowej ustawy RODO?
Ostatnio mBank sobie zażyczył skserować mój Dowód, ale zabronił mi wprowadzenia na ksero notatki z datą/miejscem skserowania dowodu celem ewentualnego wyłapania przecieku. Czy tego typu działania będą penalizowane przez RODO?
Czy jest dostępna w sprzedaży przezroczysta folia samoprzylepna która po przylepieniu na dowód automatycznie uwydatniałaby na kopii znak wodny o treści: „Nieautoryzowana Kopia”???
Właśnie wczoraj się rejestrowałem w sklepie rowertour.com i dostałem swoje hasło w plaintexcie na maila. Wygląda na to że agencja interaktywna mediart.pl, która jest autorem strony, korzysta z jakiegoś autorskiego skryptu sklepu internetowego. Jak kliknąłem na przypomnienie hasła to na maila dostałem nowe hasło – a nie linka do zresetowania hasła własnoręcznie (chociaż to i tak dobrze, że nie dostałem swojego starego hasła :) ). Podobnie po zmianie hasła – nowe hasło, na które właśnie zmieniliśmy, dostajemy ładnie na maila razem z loginem. Sprawdziłem też w innym sklepie obsługiwanym przez tą agencję i tam jest to samo – więc FAIL.
Jeśli proszą o hasło, to czytelnik mógł odesłać skrót hasła. Np md5 i napisać im, że to jest md5. Jeśli oni mają dostęp do jawnego hasła, to niech sobie z niego zrobią skrót md5 i porównają. Natomiast jeśli mają używają innej funkcji skrótu, to niech odpiszą czytelnikowi o on wygeneruje odpowiedni skrót. Gorzej jak skrót generują według swojego algorytmu, pewnie nie będą chcieli go ujawnić.
Wysłanie MD5 miałoby umożliwić to samo, co wysłanie hasła? Czyli MD5 stałby się de facto hasłem. Hasłem, które wysyłasz w mailu. W żaden sposób nie rozwiązałeś problemu.
Wysylany jest link na zew. strone (https)
Tam uzupelniamy dane.
Potwierdzamy zmiany kodem SMS
taa sms i bezpieczeństwo :D
Tak się składa, że ten sam T-mobile nie respektuje e-maili podpisanych podpisem kwalifikowanym :) np. w celu wypowiedzenia umowy, ale już skan pisma z „podpisem odręcznym” wysłany mailem im wystarczy ;)
Ciąg dalszy historii: https://zaufanatrzeciastrona.pl/post/t-mobile-prosi-abonentow-o-przesylanie-hasel-otwartym-tekstem/ – widać jest to powszechna praktyka w europie ;)