Czy systemy PolsatPlus są bezpieczne? Niebezpiecznik.pl wskazuje na jedną z furtek

W materiale firmy Niebezpiecznik.pl z dnia 17. października br. opublikowano informację o możliwości przejęcia danych klientów Grupy Telekomunikacyjnej Polsat Plus w wyniku nieopatrznego pozostawienia przez programistów niezabezpieczonego api w trakcie realizacji aktualizacji oprogramowania. Jak informuje ten sam portal – operator poinformował o swojej reakcji i wskazał przyczynę powstałego błędu. Mało tego… zareagował szybko.
Czy to rozwiązuje temat?
Naszym zdaniem – bezwzględnie NIE!

Dlaczego? Ano dlatego, że korzystając z serwisów grupy można odnieść wrażenie, iż nad systemami albo nikt nie panuje albo istnieje taki aplikacyjny chaos, że o owe zapanowanie mimo szczerych chęci trudno. Obecnie słyszymy teorię, że sporo elementów, związanych ze środowiskiem aplikacyjnym grupy miała zrealizować firma Huawei. Ta niestety nie wywiązała się z zadania i próbę łatania systemów podejmuje Asseco, który to podmiot również należy do grupy. Tymczasem, uruchamiając aplikację internetową „iplus” (ebok.pl), dla przykładu – klient taryfy ZERO otrzymuje możliwość zmiany planu taryfowego na archaiczny. Ot choćby na „Taryfy Kubali”, czy „Syberyjskie”, które od lat są w standardzie niedostępne. Z kolei w przypadku korzystania z aplikacji Cyfrowego Polsatu (icok.cyfrowypolsat.pl), bez względu na to, czy klient zgodzi się na przetwarzanie danych, czy też nie – i tak wchodzi do serwisu, loguje się do systemu, a dane są przez operatora przetwarzane. Jak donoszą klienci sieci – od wielu lat istnieją przeróżne furtki, gdzie zamknięte usługi lub pakiety można uruchomić via SMS. Wystarczy tylko podjąć więcej, aniżeli jedną próbę. Z kolei chwilę temu – operator kompletnie nie radził sobie ze współpracą aplikacji „icok” z przeglądarką Mozilla Firefox, zaś w odpowiedzi na zadane pytanie, dotyczące kompatybilności usłyszeliśmy, że można przecież użyć przeglądarki Chrome. Owszem, można – tylko, czy każdy z klientów rozpozna taką możliwość?
W aplikacji Cyfrowego Polsatu nie można wciąż także zaznaczyć kwoty posiadanej nadpłaty i zrealizować płatności właśnie z owej nadpłaty. W przypadku zaznaczenia opcji „Zapłać” – aplikacja przelicza bieżące zobowiązania w całości, zaś opcja opłaty nie stornuje jej o widniejącą na koncie nadpłatę.
Ponadto, mimo tego, że grupa telekomunikacyjna istnieje nie od dziś – klient wciąż w ramach obsługi nie otrzymuje spójnego produktu, salda i informacji o wszystkich posiadanych usługach grupy w jednym miejscu. Musi bowiem logować się albo do sekcji Plusa albo Cyfrowego Polsatu, bądź Netii.
Czy tak powinna dziś wyglądać obsługa klienta w nowoczesnej firmie technologicznej?
Bardzo wątpliwe!
A jak wygląda system z punktu widzenia konsultantów ?
Jak wynika z informacji, nadsyłanych przez pracowników operatora z różnych miejsc Polski  w czasie – obsługa klienta, to żonglowanie po kilku, czasem wręcz kilkunastu aplikacjach naraz. W zależności od tego, w jakim celu klient pojawił się w salonie? Dotarcie do danych, łącznych bonusów, etc. w przypadku posiadania usług w różnych segmentach, to – jak podkreślają – droga przez mękę.
Dodajmy, że na to wszystko patrzy ukradkiem klient, bo informacja, że trzeba jeszcze wejść tu, a potem tam, a potem zresetować inną aplikację – nie napawa go przekonaniem, że ma do czynienia z poważnym podmiotem.
Czy oprócz środowiska api, o którym wspomina Niebezpiecznik.pl dane klientów są bezpieczne?
NIE SĄ!!!
Prawdopodobnie, z tego samego powodu, jak to jest w przypadku infrastruktury sieciowej, zaawansowanych usług, czy zagwarantowania pełnego wachlarza usług w urządzeniach Apple – oszczędności dotykają również warstwy aplikacyjnej. Znając adresy serwisów obsługi klienta i przechwytując na wszelkie możliwe dziś systemowo sposoby login pracownika salonu – zdecydowana większość aplikacji może być uruchomiona na dowolnym urządzeniu, bez jakichkolwiek zabezpieczeń. Po prostu – jak w szkole podstawowej – wystarczy login i hasło. Koniec!
Nie ma protokołu VPN, nie ma autoryzowanych do uruchomienia urządzeń choćby via MAC adres
, czy przez domenę, nie ma nawet dwuetapowego logowania konsultanta, czy konieczności użycia podstawowego tokena RSA.
Z systemami grupy Polsat Plus jest po prostu źle i tak naprawdę czegokolwiek nie spróbujemy dotknąć, to albo nie jest zabezpieczone wcale albo zabezpieczone na poziomie aplikacyjnego przedszkola. Czy w taki sam sposób operator zabezpiecza również swoją infrastrukturę sieciową, przez którą transferowane są także wrażliwe dane, zaś w przypadku dostania się do niej z zewnątrz można nie tylko wykraść dane, ale również unieruchomić cały sieciowy organizm?
A może ochroną danych w Grupie Telekomunikacyjnej z urzędu zainteresuje się UODO?
Tak po prostu… na wszelki wypadek!

źródło: Niebezpiecznik.pl / informacja własna

9 komentarzy

  1. Przede wszystkim – odpowiedzialni za taką lukę programiści Asseco powinni zostać natychmiast zwolnieni. To nie system informatyczny ERP jakiegoś lokalnego spożywczaka, tylko trzeci pod względem liczby klientów operator w Polsce. A jeśli chodzi o Polsat Box – lider polskiego rynku platform satelitarnych.

    Nagana też dla Plusa, że nikt nie zorientował się co wdrożono. Jeśli to co podaje Niebezpiecznik jest prawdą, to mają wielkie szczęście. Po prostu ogromne! Że wyciekły dane tak małej liczby klientów. Fakt – nic nie słychać o wystawionej bazie klientów w darknecie, co zwykle ma miejsce przed ujawnieniem luki. T-Mobile USA nie miał tyle szczęścia.

    Z jakich systemów korzystają konsultanci – nie mam pojęcia. Z perspektywy klienta powiem, że Plusowi przydałoby się zdecydowane odświeżenie interfejsu. Mam wrażenie, że po zmianie kolorystyki np. w aplikacji mobilnej jest mniej czytelnie niż było. No i łatwo wywołać błąd serwera lub trafić na jakiś niedziałający link w iPlus. W nowoczesnym systemie Playa też miałem błąd serwera kilka razy, więc chyba jestem jakiś pechowy. 😀

    Więc jeszcze raz: nagana dla Plusa i mocny kandydat na Głuchy Telefon 2021 za tę wpadkę.

  2. Każdy operator ma coś za uszami. Piszesz, że Tobie nowoczesne systemy Play wywalają błąd serwera? 😀 Mi co jakiś czas wywalają nowoczesne systemy T-Mobile 😀 Plusa oczywiście też, ale mam wrażenie że przed zmianą „kolorystyki” było „stabilniej”.
    Pewnie sobie zdajecie sprawę, że u chyba każdego operatora tak to działa. W większości wystarczy adres, login i hasło. Ja pracowałem u jednego z dużych operatorów i tam aplikacje którymi zarządzało się działaniem sieci były tak samo dostępne – żadnego VPN, tylko adres, login, hasło i można było „wywalić” całą sieć 😉 Tak samo z aplikacjami z dostępem do danych klientów (tu jedynie nie każdy inżynier miał do nich dostęp). CDN.

    • Jedynym zabezpieczeniem było wymuszenie zmiany hasła raz w miesiącu i tyle. Sam nie raz monitorowałem działanie sieci z domu na prywatnym kompie, czy sprawdzałem jakie usługi kto ma i czy logują mu się urządzenia – żenada, prawda? Powtórzę: tylko adres, login, hasło i sieć była pod Twoją kontrolą 😀 Ba, nawet kilka miesięcy po zmianie pracy miałem nadal dostęp do tych aplikacji i jakbym był złośliwy to mogłem narobić bałaganu, a dane klientów ściągnąć i sprzedać.
      Dla dobra swojego i byłego pracodawcy nie będę mówił co to za firma, ale jest to jeden z największych dostawców usług w Polsce i nie tylko w Polsce 😉 Czy nadal to tak wygląda? Mam nadzieję że już nie, ale nie zdziwię się jeśli tak 😉

      • Best in test… 😉 Nadal z tej sieci da się wyciągnąć różne dane z domowego komputera… Wobec tego to jedyna sieć w której nie mam już usług na swoje dane…

        • Pawrzes, nie przerażaj mnie że oni też 😀 Ja akurat nie o nich pisałem 😉 Czyli wychodzi na to że każdy operatora ma ochronę danych osobowych w … i zabezpiecza systemy tak samo, czyli prawie wcale 😀

    • Chyba nie miało chodzić o Play 😉 Co do reszty, jeśli u innych też tak jest, to nie jest żaden argument, a tylko teza, że firmy mają bezpieczeństwo danych w głębokim poważaniu i najwyższy czas, żeby ktoś się tym zajął

      • I to jest niestety tragedia tego świata 🙁 Wystarczy np przyjrzeć się jak nasze dane są szanowane i chronione np w kancelariach notarialnych, gdzie nasze dane łącznie z numerami dowodów osobistych latają często przesyłane przez zwykłe, nawet niekomercyjne, usługi mailowe w domenach @wp.pl itd 😀 tam kikt nie ma skrupułów poprosic klienta zeby wszystkie swoje newralgiczne dane przesłał na maila 😀 Myślicie że ktoś potem te dane chroni? 😀 Tam nawet jak ktoś to wszystko ukradnie to nikt o tym nikogo nie powiadomi, bo notariusz nie ma o tym pojęcia 😀 oczywiście kancelarie notarialne to przykład, bo to wszędzie pewnie tak jest…

        PS. z tym Play to miałem na myśli to co Jan napisał.

        • To są bardzo smutne informacje, niemniej w żadnym stopniu nie mogą mieć wpływu, ani tym bardziej usprawiedliwiać tego, co dzieje się w grupie Polsat Plus.

          • Oczywiście, że to Plusa nie usprawiedliwia i nie to było moim celem 🙂 Po prostu przy okazji takiego zdarzenia, tak się zacząłem zastanawiać w ilu miejscach nasze dane w ogóle nie są chronione i nawet nie zdajemy sobie z tego sprawy. I wniosek jest jeden – lepiej o tym nie myśleć bo staje się to przerażające 🙁 A jak to mówią najciemniej jest pod latarnią, czyli u firm ściśle związanych z prawem 😀 Już nie mówiąc o przesyłaniu mailem danych Polaków przy niedoszłych wyborach kopertowych 😀

            PS. Prośba o usunięcie mojego zdublowanego komentarza – myślałem że się nie wysłał bo był zbyt długi, a teraz widzę że się pojawił po prostu z opóźnieniem.

Comments are closed.