T-Mobile prosi abonentów o przesyłanie haseł otwartym tekstem

dodał 15 lutego 2018 o 18:33 w kategorii Prawo, Wpadki  z tagami:
T-Mobile prosi abonentów o przesyłanie haseł otwartym tekstem

Zdawałoby się, że w 2018 roku firmy będą na tyle świadome zagrożeń związanych z przesyłaniem haseł drogą mailową, że praktyka ta odejdzie do lamusa. Nic bardziej mylnego, jak mawia pewien youtuber.

Jeden z naszych Czytelników miał problem ze zmianą hasła na koncie „Mój T-Mobile”. Sytuacja się powtarzała, dlatego wysłał maila do Biura Obsługi Abonenta. W odpowiedzi przeczytał, że „o nieprawidłowym działaniu aplikacji należy poinformować techników, jednak w tym celu niezbędne jest podanie danych identyfikacyjnych”. Jakich? Konsultant poprosił, by Czytelnik mu przesłał:

  • numer telefonu,
  • imię i nazwisko właściciela,
  • hasło abonenckie lub numer PESEL.

„Niepoważnym jest proszenie klienta o odesłanie mailem danych go identyfikujących, w tym jakiegokolwiek hasła. To jest naruszenie podstawowych zasad bezpieczeństwa” – zbulwersował się Czytelnik. Od konsultanta dowiedział się: „Jeśli chodzi o hasło abonenckie, to jest to hasło ustalane przy zawieraniu umowy lub rejestracji karty SIM właśnie z przeznaczeniem do weryfikacji kontaktu z operatorem T-Mobile”. W rezultacie Czytelnik zgłosił się do nas.

T-Mobile nie widzi problemu

Jak zawsze w przypadku budzących kontrowersje praktyk, wysłaliśmy stosowne zapytanie do firmy, która je stosuje. Odpowiedział nam Piotr Żaczko z biura prasowego T-Mobile:

Pytanie o hasło jest uzasadnione – jest to element identyfikacji Klienta. Jest to potwierdzenie, że Klient jest osobą upoważnioną do dokonywania zmian na koncie. Co ma istotne znaczenie, jak w tym przypadku, gdy chodziło o zmiany w aplikacji selfcare.

Hasło, które ustanawia Klient podczas podpisywania umowy, służy do weryfikacji kontaktu Klienta z nami – telefonicznie/mailowo/pisemnie. Jest to powszechną praktyką. W serwisach samoobsługowych potwierdzenie następuje po wprowadzeniu hasła jednorazowego, przesłanego na telefon Klienta, nie autoryzuje się hasłem abonenckim.

Problem jednak jest

Temat przesyłania haseł otwartym tekstem towarzyszy Zaufanej Trzeciej Stronie od zarania jej dziejów. Jak słusznie zauważył Czytelnik, przekazywanie tak istotnych danych nieszyfrowanym kanałem urąga podstawowym zasadom bezpieczeństwa. Najczęściej w takim przypadku mówi się o możliwości podsłuchu – jest to oczywiście wykonalne, choć w kontekście codziennego korzystania z internetu raczej mało prawdopodobne. Warto natomiast mieć na uwadze, że w przypadku włamania do skrzynki pocztowej atakujący znajdzie hasło abonenckie w treści wysłanej wiadomości i będzie mógł je wykorzystać, np. do przekierowania połączeń telefonicznych, a stąd już prosta droga do dalszych ataków.

Autorka niniejszego artykułu współpracowała wcześniej z Dziennikiem Internautów, gdzie także niejednokrotnie o tym pisała. Wymieniła przy tym szereg maili z biurem prasowym Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jedną z otrzymanych odpowiedzi warto zacytować:

Zadaniem administratora danych jest zastosowanie takich środków, które zapewnią odpowiedni poziom bezpieczeństwa danych przetwarzanych w systemach informatycznych. Do środków tych należy zaliczyć w szczególności stosowanie kryptograficznej ochrony danych podczas ich przekazywania (transmisji) między komputerem użytkownika i serwerem administratora danych oraz stosowanie funkcji skrótu (nazywanej niekiedy funkcją mieszającą lub haszującą) do kodowania hasła dostępu użytkownika w bazie danych systemu.

Publikacja artykułu zawierającego tę opinię skutkowała pozwem ze strony firmy, której dotyczyła. Wyrok sądu potwierdził jednak rzetelność krytyki stosowanych przez nią praktyk, m.in. przesyłania haseł w postaci jawnej. Opinia GIODO jest nadal aktualna. Nadchodzi jednak RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Czy to coś zmienia?

Ochrona haseł w kontekście RODO

O komentarz w tej sprawie poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa danych, autorkę serwisów Cyberlaw.pl oraz Pomocnik RODO. Uzyskaną odpowiedź publikujemy w całości:

Komentarz eksperta

Zgodnie z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i musi mieć możliwość wykazać ich przestrzeganie.

Na tle art. 24 RODO należy rozpatrywać realizację obowiązków określonych szczegółowo w przepisach dotyczących ochrony danych osobowych. Jednym z takich obowiązków jest uwzględnienie ochrony danych w fazie projektowania i jako opcji domyślnej – art. 25 RODO (obecnie należy dokonać rewizji działających systemów i poddać je analizie ryzyka i ocenie wpływu na prywatność, w tym procedurze PbD) czy stosowanie pseudonimizacji i szyfrowania danych osobowych oraz zdolność do ciągłego zapewnienia poufności – art. 32 ust. 1 i 2 RODO. Brak realizacji obowiązków prowadzić może nie tylko do nałożenia kary za każde nieprzestrzeganie obowiązku, ale także do naruszenia ochrony danych (np. nieuprawnione ujawnienie) i odpowiednio notyfikacji do organu nadzorczego lub podmiotu danych, co w konsekwencji też wpływa na ustalenie kary przez organ nadzorczy.

Mając powyższe przepisy na uwadze, jeżeli login i hasło jest przesłane e-mailem, będzie to prowadzić do naruszenia ochrony danych. Jeżeli login będzie podany na umowie, a hasło tymczasowe przesłane SMS-em nie będzie stanowiło to naruszenia (wykorzystano dwa różne kanały komunikacji do przekazania informacji, które są odseparowane i zapewniają poufność). Jeżeli login jest przesłany e-mailem, a użytkownik ma ustawić hasło przy pierwszym logowaniu po kliknięciu w link, przyjmuje się, że jest zapewniona poufność, o ile strona, na której ustawia hasło jest szyfrowana.

Analogicznie sytuacja wygląda, jeżeli prosimy o zmianę hasła. Najprościej, by użytkownik wygenerował link do zmiany hasła, jednak nie zawsze z uwagi na charakter, zakres, kontekst, cele przetwarzania będzie to sposób prawidłowy. Przykładowo w odniesieniu do danych szczególnych kategorii (np. dane o stanie zdrowia) lub danych o podwyższonym ryzyku (zgodnie z wykonaną analizą ryzyka, np. szeroko pojęte dane finansowe w banku). W takich przypadkach zasadnym będzie użycie drugiego faktora potwierdzającego wykonaną czynność. Rozwiązaniem może być podanie przez użytkownika na zaszyfrowanej stronie loginu oraz wpisanie nowego hasła i potwierdzenie zmiany kodem przepisanym z SMS-a.

Chcąc działać w zgodzie z prawem, firmy będą musiały dostosować się do powyższych zaleceń. Dotyczy to także T-Mobile. Zamiast prosić klienta o przesłanie hasła mailem, firma mogłaby np. przekierować go na bezpieczną witrynę, na której on sam podałby to, co trzeba. Inną opcją byłby kontakt z takim klientem – telefoniczny lub w aplikacji, rzecz jasna, z wykorzystaniem szyfrowania. Jakie jeszcze widzicie sposoby na rozwiązanie przedstawionego wyżej problemu? Chętnie poczytamy o nich w komentarzach.

Na koniec drobna sugestia: poszukajcie swego najpopularniejszego hasła we własnej skrzynce pocztowej i skasujcie wszystkie e-maile, które je zawierają. Jeśli zauważycie, że dostaliście je od jakiejś firmy w ostatnim roku, dajcie nam o tym znać – sprawdzimy, czy aby na pewno warto tej firmie powierzać swoje dane.