Hlavní navigace

Helpdesk na webu může být problém, když ochranu dat neberete vážně

 Autor: Isifa
Daniel Dočekal

Záznamy firem o požadavcích na servis i zpracování dat bylo možné veřejně najít na internetu, včetně zpracovaných výsledků s řadou velmi citlivých údajů.

Pokud jste například exekutorský úřad a váš dodavatel vám poskytne nějaký systém fungující na internetu, měli byste si dát velký pozor, aby vše, co v něm probíráte, nebylo veřejně dostupné

Může to totiž znamenat, že se kdokoliv dostane k vašim žádostem o zpracování „reportu oprávněného“ a následně i k vyhotovené zprávě. A to včetně záplavy velmi citlivých informací, ať už osobních údajů, finančních dat, nebo čehokoliv jiného, co může být zneužito.

Přitom to bylo tak jednoduché – jeden z uživatelů na Twitteru upozornil na existenci adresy www.taskpool.net/ser­vlet/HelpdeskView?id=4307314116491&lan­g=cs s ukázkou právě něčeho takového, jako je výše popsané. Adresa, která nevyžadovala žádné přihlášení, ověření identity, prostě nic. 

A jak už je vidět z povahy adresy, ono „id“ je numerický údaj, který (zjednodušeně) stačí měnit – v tomto případě ne zcela prostě zvyšovat, ale nedá příliš práce zjistit, že tady někdo použil jenom „security through obscurity“ a něco do skutečného platného „id“ přidává.

Při zkoumání toho, co dostanete, se navíc objeví i další užitečná adresa http://www.taskpool­.net/file.do?hd=true&id=2675923, kde je to ještě horší. 

Prostě u příloh vložených k úlohám se nikdo nezabýval tím, že jsou veřejně přístupné. Což nakonec znamená, že bylo navíc možné se dostat k přílohám ke všem výše uvedeným úlohám z „helpdesku“.

TaskPool.net je česká „cloudová“ služba helpdesku a při procházení toho, co veřejně věší na internet, najdete řadu subjektů, které je používají buď přímo, nebo prostřednictvím jejich IT servisní organizace. 

Dnes už výše uvedené adresy nefungují. TaskPool.net velmi rychle zareagoval na to, že jsme kontaktovali výše zmíněný exekutorský úřad, který – což je nutno zdůraznit – velmi rychle a korektně reagoval. Vyžádal si informace a vysvětlení a zjevně to hodně pomohlo k tomu, že během několika hodin (ve čtvrtek dopoledne) TaskPool.net zamezil tomu, že jste se volně mohli procházet věcmi, které rozhodně být přístupné neměly.

Sám TaskPool (a jeho team leader Pavel Novák) k tomu Lupě poskytl vysvětlení, které ukazuje na to, že za to vlastně mohou zákazníci:

V konfiguraci některých našich zákazníků umožňuje náš systém přístup do historie bez hesla. Je to z toho důvodu, aby se jednotliví zákazníci nemuseli stále dokola přihlašovat. Toto se dá změnit v konfiguraci tak, že se zapne ověření a při každém pokusu o přístup je vyžadováno jméno a heslo uživatele.

K čemuž je nutné dodat jenom to, že svádění zásadního bezpečnostního nedostatku na nezkušené a neinformované zákazníky nefunguje.

Pavel Novák ale ještě napsal: 

Jednotlivé odkazy obsahují kombinaci čísel, která definuje odkaz na konkrétní požadavek. Tuto kombinaci lze za jistých okolností uhodnout a dostat se tak na náhodné požadavky jiných zákazníků. Ještě dnes provedeme update systému, který sníží tuto šanci na nulu. Využijeme k tomu hashovací funkci sh-256, která je více než dostatečná.

Amatérismus v online podobě

Pokud ID bude sha-256, tak to sice volný přístup přímým zvýšením čísla už neumožní, ale stále je to opět „security through obscurity“, a pokud bude někdo chtít, tak si prostě toho robota se všemi sha-256 kombinacemi může napsat a poslat ho na jejich web. Nehledě na to, že stále zůstává problém v tom, že případná „prozrazená“ adresa bez žádosti o přihlášení bude znamenat, že se vše stane přístupné někomu, kdo k tomu přístup mít nemá.

Osobně musím dodat, že ono „za jistých okolností“ je poměrně chabá vytáčka a originální vysvětlení „je tam hash“, které provozovatel poskytl Exekutorské komoře ČR, je ještě chabější. Tak jako tak je to pořád číslo a nemá zase tolik možných kombinací. O velmi krátkém čísle příloh navíc ani nemluvě.

Nakonec i originální je, „aby se … zákazníci nemuseli stále dokola přihlašovat“. Jak to jen asi celý svět dělá, že se nemusíme pořád dokola přihlašovat do Facebooku, Twitteru, Gmailu a do tisíců dalších služeb?

Celé to nakonec vypadá, že provozovatel TaskPool stále nepochopil, jak zásadní problém je to, že důvěrné, osobní i citlivé informace od vlastních zákazníků či zákazníků jeho zákazníků nechal volně dostupné na internetu. 

Našli jste v článku chybu?

28. 6. 2016 9:00

sulthan (neregistrovaný)

Ehm, predstavte si, ze vite, ze identifikatory jsou jen v rozmezi 0 az 1'000'000. Pak vsechny tyhle identifikatory muzete zahashovat (a je uplne jedno jak dobrym hashem) a pak zkouset jenom ty hashe, co vam to vyplivne. Zadne 2^256 moznosti.

Rika se tomu generovani slovniku a pouzivalo se to pro hackovani hashovanych hesel uz v sedmdesatych letech. Presne to je ten duvod, proc se dnes nepouzivaji slovnikova hesla.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?