web analytics
Exclusiv
Internet

CVD – Date personale expuse pe siteul Telekom.ro

Securitatea cibernetica este un subiect controversat, in care aproape nimeni nu crede ca ar trebui investite resurse financiare pana in momentul in care costurile reparațiilor sunt mai mari decât orice bug bounty sau salarii ale unei echipe de specialitate.

De curând citeam pe un grup al oamenilor din IT o poveste a unei companii dezvoltatoare de software pentru POS-uri care fusese infectata cu un virus de tip ransomware și trebuia sa plătească 1500 € pentru decriptarea fiecărei stații de lucru, fiind undeva la numai 500 unități. 1500€ x 500 și nu aveau nici backup.

Am mai scris in trecut despre programul CERT-RO de Divulgare Coordonată a Vulnerabilităților – CVD.

Divulgarea coordonată și responsabilă a vulnerabilităților este forma de cooperare dintre deținătorii sau producatorii de servicii, sisteme și programe informatice și raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele doua părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producatori și cercetatori în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate.

Astfel, exista deja cadrul legal prin care în situația în care este identificată o vulnerabilitate, raportorul are posibilitatea de a contacta CERT-RO iar mai departe operatorul (administratorul site-ului) este contactat de către aceștia și îi este indicat să elimine vulnerabilitățile înainte de a putea fi exploatate de către publicul larg. Asta numai dacă ceea ce a fost raportat este într-adevăr o vulnerabilitate ce poate reprezenta un risc din punct de vedere al securității cibernetice și este analizată de către specialiști înainte de a contacta operatorul.

Sunt situații în care operatorii răspund destul de repede solicitărilor CERT-RO. Unii solicită chiar să discute personal cu raportorul, având implementate programe de bug bounty sau doar pentru a spune un simplu mulțumesc. In cazul CVD contează enorm cei 6-7 ani de acasă. Sunt situații in care operatorii dau vina pe hackeri rău intenționați și cred în sinea lor ca oamenii răi au ceva cu ei. Sunt situații în care operatorul ignoră cu bună știință notificarea CERT-RO sperând că a fost un caz izolat, oricum el are firmă prea mică și dacă însă întâmplă ceva, spune că nu a primit mailul.

Despre white-, grey-, black hat, scripteri, kinderi și alte specii vom povesti altă dată probabil.

Astăzi este vorba de câteva vulnerabilități de tip Sensitive Data Exposure pe site-ul telekom.ro ce includ divulgarea datelor cu caracter personal, de la nume, prenume, numărul de telefon, adresa email până la adresa de facturare/domiciliu.

O primă vulnerabilitate se manifesta pe subdomeniul agenthelp, fiind publicate diverse scurtaturi către aplicații interne Telekom, folosite de către Call Center.

În materialele de training disponibile la adresele

  • http://agenthelp.telekom.ro/wp-content/uploads/2017/02/ROAMING-postpaid-25.08.2017.docx
  • https://agenthelp.telekom.ro/wp-content/uploads/2017/02/SCHIMBARE-MSISDN-postpaid-30.08.2017-1.pdf
  • https://agenthelp.telekom.ro/wp-content/uploads/2017/02/CODURILE-PUK1-PUK2-T20-postpaid-30.08.2017.pdf

sunt publicate capturi de ecran ale diverselor aplicații interne ce conțin numele abonaților, numărul de telefon și adresa de facturare și/sau domiciliu. Datele nu sunt dummy pentru că am apelat la 3 astfel de numere de telefon și se confirmă informațiile din documente cu cele ale abonaților ce au răspuns apelului.

O alta vulnerabilitate identificata este publicarea neprotejata a facturilor abonaților. Această vulnerabilitate se manifestă pe subdomeniul generare-factura. Facturile sunt disponibile în mod public, fără sa fie protejate de o parola sau să încerce sistemul informatic să mă identifice ca fiind autorizat sa accesez aceste facturi. Link-urile vulnerabile sunt de forma:

  • http://generare-factura.telekom.ro/?p=E876CDF09B10A831AB18060F576C37CF4FDC123AAF1E9FED8B4E012FCFAACA2FA847B193xxxxxxxx
  • http://generare-factura.telekom.ro/?p=E876CDF09B10A831AB18060F576C37CFBB290AC512D50D6F047D9B1427748191ACF75ED8xxxxxxxxx
  • http://generare-factura.telekom.ro/?p=E876CDF09B10A831AB18060F576C37CFBB290AC512D50D6F047D9B1427748191D40ECAE2xxxxxxxxx
  • http://generare-factura.telekom.ro/?=278D57D6751F0870ECBFFC08D00955305D2534FB25D9485550BA2055D985E1A4D1D136655xxxxxxxxx

Partea cea mai dificilă este că datele sunt indexate în motoarele de cautare (Google, Bing), Alexa și alte instrumente la care oricine poate avea acces fără efort. Văd o scădere a numărului de rezultate zilnic deci cineva a început deja procedura de ștergere a datelor din Google (sper că și din celelalte motoare de căutare).

Citeam într-un articol pe adevarul anul trecut faptul că “Telekom lucrează în parteneriat cu EY, cu care derulează deja proiecte complexe în domeniul securităţii datelor cu caracter personal, pentru clienţii de pe piaţa locală.  Există companii din toate domeniile de activitate cărora Telekom Romania, împreună cu acest partener strategic, le oferă soluţii complete.” Este firesc însă ca o companie cu o multitudine de sisteme interne și externe să aibă și scăpări, de aceea scopul raportărilor este de a identifica slăbiciunile dintr-un sistem informatic și de a face tot posibilul să fie remediate înainte de a fi exploatate de către persoane rău voitoare.

telekom.ro

Poate una dintre cele mai importante vulnerabilități identificate pe site-ul telekom.ro este chiar modalitatea de confirmare a unei comenzi. După plasarea unei comenzi este transmis un email numit “Confirmare plasare comandã” ce contine o informație importantă: numărul comenzii și un link de unde poți urmări statusul comenzii plasate:
“Comanda ta (o325395xxx) a fost înregistrată cu succes. Poți vizualiza oricând detaliile și statusul comenzii tale în secțiunea Istoric comenzi din contul tău MyAccount […]”

Experiența mea online într-adevăr continuă, pentru ca ID-ul de comanda ce se regăsește in email coincide cu ID-ul de comanda ce apare la click pe Istoric Comenzi. Astfel, incrementând ID-ul pot fi descoperite comenzi ale altor clienți, ce conțin înregistrările personale ale clienților Telekom, precum numele complet, adresa de facturare completă, email personal, numărul de telefon precum si detaliile comenzii.

Privind înapoi la comenzi trecute, observ ca pare un pic mai greu acum sa identifici ce ID are comanda, nefiind incrementate din 1 in 1, dar cu răbdare si cu un offline file browser pot fi descărcate sute sau mii de comenzi în numai câteva minute.

  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=o30714xxx&user=loggedout
  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=o325395xxx&user=loggedout
  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=75662xxx&user=loggedout
  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=75688xxx&user=loggedout
  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=76995xxx&user=loggedout
  • https://www.telekom.ro/myaccount/configurare/istoric-comenzi/?orderId=77654xxx&user=loggedout
telekom.ro
cvd

Operatorul a fost notificat în perioada 19-25 Iulie 2019 și raportorul a oferit un termen de remediere de 30 zile. Aici este partea interesantă în CVD. Nu oferi o zi termen de remediere și apoi ieși public cu informația ci oferi un termen realist astfel încât operatorul să poată aplica măsuri corective în mod organizat și analitic.

Astfel, la momentul publicării acestui articol accesul la subdomeniul agenthelp.telekom.ro a fost limitat (cel mai probabil la nivel de IP) dar in continuare pot fi folosite diverse motoare de căutare pentru a identifica facturi generate și o persoană cu un pic de analytic thinking, basic criptography și experiența minima în ceea ce înseamnă un website poate accesa datele a mii de abonați Telekom. Pornind din dork-uri de Google. Singurul layer de securitate atașat a fost un recaptcha pentru a nu putea fi extrase facturile în mod automat. Dar manual este în continuare libertate deplină.

În ceea ce privește istoricul comenzilor, pe o perioada lunga din trecut au fost sterse datele personale, dar rămân pentru comenzile noi dacă ai un pic de timp liber să alterezi ID-ul comenzii. Nu este solicitată nicio informație suplimentară pentru sporirea gradului de securitate (ex: adresa email, MSISDN, orice…)

Vorbim aici de un lucru destul de grav, de o vulnerabilitate cauzată de proiectarea greșită a sistemelor de securitate a aplicațiilor Line-of-Business disponibile în cadrul operatorului.

Practic operatorul a creat premisa divulgării neautorizate și a accesului neautorizat la datele cu caracter personal, nerespectând unul dintre cele mai importante principii GDPR – principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. De asemenea nu a respectat obligația de la art 5 paragraful f din GDPR – cea de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

Lucrurile sunt agravate și de faptul că operatorul a fost notificat de această breșă de securitate, dar precum vedem nu a luat măsurile tehnice și organizaționale necesare pentru a limita accesul neautorizat la datele cu caracter personal. Am spus de nenumărate ori, atât la conferințe cât și în postări pe rețelele sociale – nu este destul să avem documentația integrală de GDPR, nu este destul să avem măsurile tehnice și organizaționale puse frumos în proceduri detaliate, dacă nu și respectăm ceea ce scrie în documentație și dacă nu absolut toți cei care prelucrează date cu caracter personal în cadrul unei instituții sau a unei firme sunt instruiți periodic privind responsabilitățile pe care le au. Mai sunt încă destui care se întreabă – „ce mare lucru că sunt niște date cu caracter personal expuse?”. Aceste date nu sunt înșiruiri de cifre și litere ci reprezintă aspecte ale vieții și ale intimității unei persoane – ale unui om. Și aceste date expuse pot fi folosite de către răufăcători împotriva acestor oameni.

A sosit momentul să luăm în serios GDPR nu atât din perspectiva amenzilor ci în special din perspectiva bonității și încrederii pierdute față de clienți!

Tudor Galoș. EU Privacy Consultant, Tudor Galoș ConsultingTudor Galoș. EU Privacy Consultant, Tudor Galoș Consulting

Mă aștept să se spună că am fost om rău, fără inimă sau că pentru accesarea datelor trebuie să ai cunoștințe mai avansate decât în realitate. Însă Telekom nu a luat în serios raportul transmis si a refuzat să tratateze cu seriozitate datele personale ale abonaților și clienților săi chiar și la 36 zile după ce i s-a atras atenția asupra acestui data breach major.

Atâta timp cât ești indexat de către motoarele de cautare, aștepți să se întâmple inevitabilul. Secretul este sa știi ce să cauți și cum.  Desigur, nu Google este singurul motor de căutare și informații prețioase pot fi extrase și din alte agregatoare de trafic sau motoare de căutare. Atâta timp cât singura securitate este un ID numeric, necriptat, este de la sine înțeles faptul că vor fi utilizatori care vor exploata această scăpare.

Ce mi se pare interesant este că în continuare există aplicații web/site-uri care fac autentificarea automată în cont pe baza unui link cu token sperând că informațiile din email sunt strict confidențiale și nimeni nu poate avea acces la ele. Dar istoria a dovedit deja ca extensiile de browser vând traficul ca sursa principală de venit, nu mai e nimic nou sub soare de ani buni. În continuare sunt site-uri care nu au dată de expirare pentru tokenul de reset password și când traficul colectat de către extensiile de browser ajung pe bune la omul negru, atunci nici cisterna de apa sfințită a lui Dănuț nu te mai ajuta.

Ideea de final este simpla. Dacă aveți o aplicatie web, un business online, un site, faceți reducere de buget de la orice dar nu de la securitate. Dacă nu aveți angajați oameni, contractați o data pe an o companie de profil sa facă o analiza ce poate avea multe forme, in funcție de complexitatea și specificul site-ului. Dacă nici așa nu merge, sunt zeci de site-uri internaționale unde pot fi deschise programe de tip bug bounty astfel încât studentul de la Poli cu foarte mult timp liber sa își urmeze pasiunea și sa fie și recompensat iar incidentele de securitate să nu ajungă niciodată să fie exploatate.

În Articolul 33 din RGPD – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică:

  • Raportarea în situatia aparitiei unor brese de securitate este obligatorie pentru orice operator de date personale; 
  • Operatorii trebuie sa raporteze catre autoritatilor de supraveghere competente orice încalcare a conditiilor de siguranta fara întârzieri nejustificate; Daca este posibil , nu mai târziu de 72 de ore de la prima constientizare; Daca raportarea nu este facuta în termen de 72 de ore, trebuie furnizata o justificare a întârzierii; 

Recomandări pentru abonații/clienții afectați de această breșă de securitate:

În primul rând trebuie să aflăm cine sunt userii afectați și câți sunt. Aceștia ar trebui să ceară dreptul de a-și accesa toate datele cu caracter personal, trebuie să fie informați de către operator asupra breșei și a posibilelor efecte asupra lor iar apoi să decidă dacă cer sau nu compensații. Atâta timp cât Telekom Romania Communications S.A. a refuzat să asigure securitatea și integritatea informației chiar și după divulgarea breșei de securitate, mă îndoiesc că va aviza câteva sute de abonați asupra faptului că le-au fost accesate și folosite datele personale.

Distribuie articolul pe:
TwitterFacebookGoogle+
  1. A înnebunit lumea. E deja al doilea data breach văzut la tine in ultima săptămâna. Ăștia nu au un departament de securitate, compliance , ceva?

  2. OMFG! Sper ca nu ai abonament Telekom, sa te lase fara numar, nu?

  3. Cum zicea cineva si in comentariile de pe facbook, dorkurile de google sunt cele mai usoare metode de a intra in posesia unor informatii considerate sercret de serviciu si/sau confidentiale. Cauti asta in bing, google, whatever si ai suprize ne/placute https://www.google.ro/search?hl=en-ro&q=site%3A.ro%20inurl%3Axls%20gmail%20-pfa%20-srl

  4. Multumesc ptr acest articol. Tocmai le-am trimis o misiva.
    Si tare sper sa nu fie cazul sa ii caute avocatul meu. (am nr la NI)

  5. Telekom? Am avut de aface cu serviciul lor tehnic pe partea gestionare si gazduire site. Interlocutorul meu nu stia ce e ala un nameserver. Punct. Sunt praffff.

  6. […] Divulgarea coordonată și responsabilă a vulnerabilităților este forma de cooperare dintre deținătorii sau producatorii de servicii, sisteme și programe informatice și raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producatori și cercetatori în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate, arată Cristian Iosub pe blogul său. […]

  7. […] Divulgarea coordonată și responsabilă a vulnerabilităților este forma de cooperare dintre deținătorii sau producatorii de servicii, sisteme și programe informatice și raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producatori și cercetatori în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate, arată Cristian Iosub pe blogul său. […]

  8. Petrovici Pavel 26 august 2019 at 18:51

    Solutia telekom sa nu mai poata fi accesate facturile este de a bloca domeniul cu totul. Acum nici propria factura nu o mai poti accesa.
    ping generare-factura.telekom.ro
    PING generare-factura.telekom.ro (193.231.107.198): 56 data bytes
    Request timeout for icmp_seq 0
    Request timeout for icmp_seq 1
    Request timeout for icmp_seq 2

  9. La fix a venit articolul asta pentru ca chiar in seara asta cautam sa ma portez la oferta aia cu net nelimitat dar decat sa shareuiesc cu o tara intreaga datele personale mai bine raman cuminte la Vodafone. Noroc ca am fost inspirat sa caut pe google opinii despre Telekom inainte, asa ca ai un brifcor de la mine 😐

  10. Iti e prea bine bag seama. Nu suni tu o data in CC sa dai peste mine? Te tin minte!

  11. Telekom – experiente (neplacute) impreuna !

  12. […] Site-ul Telekom.ro expunea date personale ale utilizatorilor. Astea-s vulnerabilități de anii 2000. […]

    Cristian Iosub