web analytics
Exclusiv
Internet

CVD – Date personale expuse pe siteurile In-Town.ro si FRF.ro

in-town.ro permite divulgarea datelor cu caracter personal prin publicarea biletelor achiziționate cu ajutorul acestei platforme la cele mai cunoscute evenimente din România, precum Neversea și Untold.

Aceasta vulnerabilitate se manifesta pe subdomeniul payment, fiind expuse cererile de autorizare ale plăților online și conțineau în adresa URL date personale precum adresa de email personală dar și date ajutătoare în exploatarea altor vulnerabilități, precum ID-ul de comandă, tokenul folosit în generarea biletului.

Poate una dintre cele mai importante vulnerabilități identificate pe site-ul in-town.ro este chiar posibilitatea de a vizualiza biletul comandat. Aceasta vulnerabilitate se manifesta pe subdomeniul tickets, fiind expus numele cumpărătorului și oferind posibilitatea de a salva fișierul .pdf ce conține biletul / abonamentul achiziționat.

Și de aceasta data, informațiile sunt indexate în motoarele de cautare (Google, Bing), Alexa și alte instrumente la care oricine poate avea acces fără efort.

Untold nu este la prima abatere dar aparent nici nu face ceva pentru a îndrepta greșelile din anii trecuți când au primit amenzi de 7.500 lei din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru prelucrarea nelegală a datelor personale din actele de identitate ale participanților la festival, inclusiv prin scanarea actului de identitate.

Operatorul a fost notificat în perioada 27-30 Iulie dar fiind în perioada evenimentului Untold, raportorul a oferit un termen de remediere de 30 zile.

Din păcate, eforturile depuse prin programul CVD de a convinge S.C. Dettra Organization SRL, operatorul siteului in-town.ro, să aplice măsuri de corecție asupra situației semnalate au rămas fără răspuns. Astfel, la momentul publicării acestui articol vulnerabilitatea este în continuare prezentă și o persoană cu un pic de analytical thinking, basic criptography și experiența minimă în ceea ce înseamnă un e-commerce poate accesa datele a mii de participanți Untold, Neversea, Tomorrow is Ours și alte evenimente. Din nou, pornind din dork-uri de Google.

Scenarii

  • Un potențial scenariu pentru In-Town era ca omul negru să aibă acces la datele raportate și sa vândă înainte de Untold câteva sute de bilete pe OLX. În fiecare an se schimba regulile jocului și adaugă layere de securitate organizatorii evenimentelor. În unele cazuri este necesară prezentarea unei cărți de identitate, în alte cazuri nu. Astfel, 100 bilete vândute pe OLX însemnau un BMW seria 5 la mâna a doua.
  • Un alt scenariu ar fi fost colectarea datelor personale precum nume și email, apoi utilizarea lor in scopuri frauduloase post eveniment. Pe mine dacă m-ar suna Untold sa îmi spună ca au 10 abonamente la jumate de preț și oferta e valabilă numai azi, din piatra seacă fac rost de 3.000 lei și le trimit banii conform unei facturi cu IBAN primită pe adresa email…declarată când am cumpărat biletul ediția trecută.
  • Cel mai puțin probabil ar fi să am nume comun cu al unui alt client care a cumpărat pe banii lui biletul și să mă prezint cu noaptea în cap la Sala Polivalenta, îmi iau brățara și apoi când vine clientul de drept, să nu mai poată intra pentru ca brățara e deja la mine, pe buletinul meu, cu mecla mea.
  • Oricare dintre scenariile de mai sus sunt gândite în mai puțin de 30 de secunde. Omul negru cu siguranță are mai mult timp liber și știe foarte bine ce poate face cu biletele, numele și adresele de email ale clienților In-Town. Poate ii place un BMW seria 6 și atunci e curajos să vândă și pe Okazii.ro 😉
untold
neversea

La polul opus, sunt plăcut surprins de rapiditatea și metodele de securizare aplicate de către dezvoltatorii site-ului federației romane de fotbal (frf.ro)

La începutul lunii a fost identificată o vulnerabilitate similară celei de pe in-town dar cu mult mai multe date disponibile. Aceasta vulnerabilitate se manifesta pe subdomeniul bilete, fiind expuse confirmările plăților online ce conțin adresele de email personale ale clienților. Aparent inofensiv, fiind vorba numai de adresa email personala a clienților. Mesajul afișat pe pagina web era de forma (anonimizez datele prin înlocuirea acestora cu xxx):

Comanda nr 317760xxxx a fost plasata cu succes!
Plata este in curs de verificare la EuPlatesc.ro si va fi confirmata in cel mai scurt timp pe adresa de email xxx@yahoo.ro.
Va multumim!
Detalii complete despre tranzactia dvs puteti gasi aici: detalii tranzactie EuPlatesc

La click pe detalii tranzactie EuPlatesc atacatorul este direcționat către pagina EuPlatesc, de forma https://secure.euplatesc.ro/xxx.php?id=xxx unde sunt publicate detaliile tranzacției:

Detaliile tranzacției 0411:198xxxx
Comanda numarul (referința comerciant) 0411:198xxxx
Descrierea comenzii  Comanda #31776xxxxx de pe BileteFRF
Suma platita  40.00 RON
Comerciant  DEPARTAMENTUL LOGISTIC EVENT S.R.L. (https://bilete.frf.ro)
Numarul de card  xxxx-xxxx-xxxx-9483
Adresa de IP  213.233.xxx.xxx
Detalii platitor
Nume și prenume  xxx xxx
Adresa xxx
Oraș  xxx
Telefon 0746.xxx.xxx
Adresa de email  xxx@yahoo.ro
Detalii de livrare
Nume și prenume   xxx xxx
Adresa  xxx
Oraș  xxx
Telefon 0746.xxx.xxx
Adresa de email  xxx@yahoo.ro
Stare tranzacție
Data tranzacției 2018-10-xx 12:04:11
Raspunsul bancii emitente  Approved
Codul de autorizare  xxxxx   
Data incasarii     2018-10-xx 12:37:47

Un scenariu asemănător era aplicat și în cazul în care plata eșuase, fiind reținute detaliile tranzacției și datele personale ale clientului.

La momentul publicării acestui articol au fost securizate metodele prin care puteau fi accesate detaliile tranzacțiilor și datele cu caracter personal.

Date personale
Date personale

Am luat legătura cu Ana-Maria Udriște, fondator Avocatoo și consultant GDPR, pentru a îi solicita opinia avizată cu privire la situația in-town.ro si redau mai jos integral materialul primit din partea dumneaei:

În primul rând, ar trebui să ne uităm la anvergura și importanța evenimentelor pe care poți achiziționa bilete pe in-town.ro – vorbim despre Untold și Neversea, care sunt cele mai mari festivaluri din România la momentul actual.

Totodată, ambele evenimente și-au ”câștigat” numele în piață ca fiind niște festivaluri profesioniste – nu degeaba vin oameni din toate colțurile Europei pentru a participa – vorbim despre calitate. Când intri pe site la Untold, de exemplu și vrei să iei bilete (apropo, mai e puțin și se deschide sesiunea de cumpărat biletele pentru 2020), vezi că ai 3 furnizori care oferă aceste servicii: in-town.ro, entertix și festicket pentru achiziții internaționale.

În al doilea rând, te gândești, în mod rezonabil că acești furnizori de servicii se ridică la aceleași standarde cu care ești obișnuit la eveniment. Și intri pe site, plasezi comanda, plătești online, iei tichetul cu tine și te duci să te distrezi.

Însă poate că ești o persoană despre care nu vrei să se afle că este la eveniment, din diverse motive – probleme de cuplu, ți-ai luat concediu medical fix pentru asta etc. Și descoperi că de fapt lumea a aflat, pe ”surse” că ai fost acolo, pentru că datele tale personale din tranzacție, alături de tichet, au fost ”expuse” pe site-ul celor de la in-town. Nu mai spun de situația în care ajungeai până acolo și te puteai trezi că altcineva deja a validat biletul înaintea ta și pierzi și distracția și banii de cazare pe lângă.

Revenind la oile noastre – aici nu vorbim despre o breșă de securitate din exterior, ci de o vulnerabilitate din interior – cum spuneam și noi în articolul ăsta, companiile în general se expun singure la incidente de securitate. Practic, ne-o facem cu mâna noastră, fără să fie nevoie de intervenția unui hacker și a unui algoritm super mega sofisticat de ”spargere”. Nu, datele personale sunt acolo, la vedere, trebuie doar să știi să le cauți și să fii atent.

Potrivit articolul 5 alin. (1) lit. f) din GDPR, unul din principiile fundamentale este dat de integritate și confidențialitate.

Articolul 5: Principii legate de prelucrarea datelor cu caracter personal

(1)   Datele cu caracter personal sunt:

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Altfel spus, operatorul de date trebuie să se responsabil și să ia măsurile necesare pentru a proteja o asemenea divulgare.

Ar trebui să corelăm această dispoziție cu preambulul (83) din GDPR – pe care în general nu îl citește multă lume, fiind în partea de început, care sună așa:

”În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu caracter personal a căror protecție trebuie asigurată. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.”

Ne-am lămurit până acum că:

  1. vorbim de o divulgare accidentală,
  2. această divulgare prezintă un risc mediu spre ridicat (din punctul meu de vedere, un risc ridicat ar însemna date personale sensibile pentru CNP-uri, adrese de domiciliu, date de sănătate, carduri bancare etc.)
  3. măsurile de securitate ce putea fi adoptate și implementate erau rezonabile atât din punct de vedere al costurilor, dar și al tehnologiei existente (sunt atâția procesatori de biletele online ale căror tichete la evenimente nu sunt libere pe internet).

Cine răspunde pentru această divulgare?

Răspunsul este simplu: ambii – atât organizatorul Untold – Untold SRL, cât și In-Town – Dettra Organization SRL.

Untold, în calitate de operator de date cu caracter personal, are obligația de a se asigura că persoanele cu care lucrează pentru furnizarea unor servicii respectă obligațiile conform GDPR.

Asta o regăsim în art. 28 alin. (1) din GDPR, care ne spune că:

”(1)   În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.”

Prin urmare, este obligația Untold să se asigure că persoanele împuternicite cu care acesta colaborează are implementate mecanisme tehnice și organizatorice adecvate, menite să asigure integritate și confidențialitatea datelor.

Pentru asta, Untold riscă o amendă de până la 4% din cifra de afaceri sau 20 milioane de euro, oricare dintre ele este mai mare (nu aș merge pe ideea că intrăm pe celalaltă variantă mai redusă, aceea că a încălcat GDPR doar prin lipsa verificării persoanei împuternicite In-Town pentru că vorbim de încălcarea de bază a principiului integrității și confidențialității).

Însă aceeași amendă o riscă și In-Town, pentru că acesta are o dublă calitate: (a) de operator în relație cu clienții care achiziționează bilete de pe site, dar și de (b) persoană împuternicită în relația cu Untold, pentru că emite biletele/tichetele în numele acestuia.

Astfel, eu aș vedea o acțiune din partea persoanelor care au achiziționat bilete atât împotriva Untold, cât și împotriva In-town. Și sunt de părere că ar putea obține despăgubiri de la ambii jucători, pe temeiuri diferite – la Untold pentru nerespectarea obligației de a se asigura că partenerii comerciali respectă standardele GDPR, iar la In-town pentru încălcarea principiului integrității și confidențialității.

Însă ca să faci o acțiune, trebuie să știi că există o încălcare. Și revenim la ce spuneai, cu notificarea ANSPDCP și informarea persoanelor vizate despre breșa de securitate – aici distincția operator – persoană împuternicită devine foarte importantă și interesantă.

Este clar, Untold fiind operator, trebuia să notifice autoritatea – potrivit art. 33 alin. (1) GDPR,  ”În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. ” Nu trebuie ca riscul să fie ridicat, ci trebuie să existe un risc, care în cazul nostru se validează.

Dacă In-Town în schimb ar fi fost doar persoană împuternicită, acesta nu ar fi avut obligația de a notifica autoritatea în același termen de 72 ore. Practic doar ar fi informat, conform art. 33 alin. (2) Untold, în calitate de operator despre breșă și i-ar fi oferit acestuia sprijinul. Dar pentru că In-Town este la rândul lui operator de date în relație cu clienții care achiziționează biletele de pe site, și acesta avea obligația de a notifica autoritatea în termen de 72 ore.

În ceea ce privește informarea persoanelor vizate, dat fiind că nu vorbim despre un risc ridicat, caz în care notificarea este esențială, nu consider că ar fi trebuit anunțate, mai ales că din punct de vedere organizatoric lucrurile se puteau remedia rapid on-site (de exemplu situația în care cineva validase deja biletul).

Însă la nivelul celor doi jucători pe piață și la anvergura evenimentelor, ar fi fost o mișcare bună să informeze persoanele la timp și să vină cu remedii care nu implicau prea mult efort – spre exemplu, In-Town ar fi putut da un e-mail către persoanele vizate cu tichete noi, care să aibă generate coduri de bară de acces distincte de primele. Untold ar fi putut să implementeze un sistem de ”prior check” și să ”vegheze” dacă datele persoanei sunt folosite pentru accesul în locație sau pentru înscriere la alte evenimente etc. Soluții s-ar fi găsit și ar fi fost un boost bun de imagine.

Revenind la amendă în schimb, că mi-a scăpat un element – consider că în ambele scenarii, se pot aplica circumstanțe agravante și să se meargă spre aplicarea unui cuantum înspre limita de sus – In-town fusese informat despre breșă, însă nu a luat nici până la acest moment o măsură de remediere, ceea ce este cel puțin interesant. Sunt curioasă dacă a informat Untold despre acest aspect, deși este puțin probabil.

Poate că în lumina ultimelor evenimente la nivel național (inclusiv Avocatoo care a luat amendă pentru același motiv, monitorizarea și divulgarea CNP-urilor la avizier, Meridian taxi care a lăsat conversațiile din call-center ”libere”), companiile și totodată persoanele vor deveni mai responsabile și vor acorda o atenție mai … sporită. Dacă ne uităm un pic cu atenție, vedem că toate situațiile puteau fi evitate cu un minim de efort și un cost extrem de redus.

Iar ca notă adiacentă, este interesant de observat câtă atenție au acordat ambii prelucrării datelor cu caracter personal în acest context, având în vedere că politicile lor de informare nu respectă nici măcar cerințele minimale conform GDPR.

Responsible Disclosure
Ai suspiciuni asupra unei aplicații web că ar putea procesa date cu caracter personal într-un mod nelegitim? Scrie-mi un mesaj și hai să vedem împreună cum putem ajuta procesatorul de date cu caracter personal să poată remedia vulnerabilitatea în timp util, înainte de a putea fi exploatată de catre persoane rău intenționate.

Reprezentantii In Town mi-au transmis urmatoarele informatii pe care le redau in intregime:

“Incercam in fiecare editie sa aducem cat mai multe fluxuri online de care participantii sa se bucure si sa le maximizeze experienta de festival. 

Punctual legat de tema articolului, vulnerabilitate a fost remediata la finalul lunii iulie, la cateva ore de la primirea primei informatii de la CERT-RO. Vulnerabilitatea nu a avut un impact asupra participantilor si a experientei acestora in festival.


Multumim autorului si altor participanti la event care isi dedica timp sa ofere feedback astfel incat platformele si serviciile pe care le oferim sa fie la standardele cele mai inalte.”

Distribuie articolul pe:
TwitterFacebookGoogle+
Summary
CVD - Date personale expuse pe siteurile In-Town.ro si FRF.ro
Article Name
CVD - Date personale expuse pe siteurile In-Town.ro si FRF.ro
Description
Sensitive Data Exposure pe site-ul in-town.ro si frf.ro. Biletele Untold, Neversea publicate alaturi de datele personale ale clientilor.
Author
Publisher Name
Cristian Iosub
Publisher Logo
  1. Apreciez din ce in ce mai mult aceasta serie de articole ! Însa sunt uimit de reușita convertirii contravenitului într-un factor de referința în sprijinul legii !

    Cristian Iosub