Hlavní navigace

Helpdesk na webu může být problém, když ochranu dat neberete vážně

 Autor: Isifa
Daniel Dočekal 28. 6. 2016

Záznamy firem o požadavcích na servis i zpracování dat bylo možné veřejně najít na internetu, včetně zpracovaných výsledků s řadou velmi citlivých údajů.

Pokud jste například exekutorský úřad a váš dodavatel vám poskytne nějaký systém fungující na internetu, měli byste si dát velký pozor, aby vše, co v něm probíráte, nebylo veřejně dostupné

Může to totiž znamenat, že se kdokoliv dostane k vašim žádostem o zpracování „reportu oprávněného“ a následně i k vyhotovené zprávě. A to včetně záplavy velmi citlivých informací, ať už osobních údajů, finančních dat, nebo čehokoliv jiného, co může být zneužito.

Přitom to bylo tak jednoduché – jeden z uživatelů na Twitteru upozornil na existenci adresy www.taskpool.net/ser­vlet/HelpdeskView?id=4307314116491&lan­g=cs s ukázkou právě něčeho takového, jako je výše popsané. Adresa, která nevyžadovala žádné přihlášení, ověření identity, prostě nic. 

A jak už je vidět z povahy adresy, ono „id“ je numerický údaj, který (zjednodušeně) stačí měnit – v tomto případě ne zcela prostě zvyšovat, ale nedá příliš práce zjistit, že tady někdo použil jenom „security through obscurity“ a něco do skutečného platného „id“ přidává.

Při zkoumání toho, co dostanete, se navíc objeví i další užitečná adresa http://www.taskpool­.net/file.do?hd=true&id=2675923, kde je to ještě horší. 

Prostě u příloh vložených k úlohám se nikdo nezabýval tím, že jsou veřejně přístupné. Což nakonec znamená, že bylo navíc možné se dostat k přílohám ke všem výše uvedeným úlohám z „helpdesku“.

TaskPool.net je česká „cloudová“ služba helpdesku a při procházení toho, co veřejně věší na internet, najdete řadu subjektů, které je používají buď přímo, nebo prostřednictvím jejich IT servisní organizace. 

Dnes už výše uvedené adresy nefungují. TaskPool.net velmi rychle zareagoval na to, že jsme kontaktovali výše zmíněný exekutorský úřad, který – což je nutno zdůraznit – velmi rychle a korektně reagoval. Vyžádal si informace a vysvětlení a zjevně to hodně pomohlo k tomu, že během několika hodin (ve čtvrtek dopoledne) TaskPool.net zamezil tomu, že jste se volně mohli procházet věcmi, které rozhodně být přístupné neměly.

Sám TaskPool (a jeho team leader Pavel Novák) k tomu Lupě poskytl vysvětlení, které ukazuje na to, že za to vlastně mohou zákazníci:

V konfiguraci některých našich zákazníků umožňuje náš systém přístup do historie bez hesla. Je to z toho důvodu, aby se jednotliví zákazníci nemuseli stále dokola přihlašovat. Toto se dá změnit v konfiguraci tak, že se zapne ověření a při každém pokusu o přístup je vyžadováno jméno a heslo uživatele.

K čemuž je nutné dodat jenom to, že svádění zásadního bezpečnostního nedostatku na nezkušené a neinformované zákazníky nefunguje.

Pavel Novák ale ještě napsal: 

Jednotlivé odkazy obsahují kombinaci čísel, která definuje odkaz na konkrétní požadavek. Tuto kombinaci lze za jistých okolností uhodnout a dostat se tak na náhodné požadavky jiných zákazníků. Ještě dnes provedeme update systému, který sníží tuto šanci na nulu. Využijeme k tomu hashovací funkci sh-256, která je více než dostatečná.

Amatérismus v online podobě

Pokud ID bude sha-256, tak to sice volný přístup přímým zvýšením čísla už neumožní, ale stále je to opět „security through obscurity“, a pokud bude někdo chtít, tak si prostě toho robota se všemi sha-256 kombinacemi může napsat a poslat ho na jejich web. Nehledě na to, že stále zůstává problém v tom, že případná „prozrazená“ adresa bez žádosti o přihlášení bude znamenat, že se vše stane přístupné někomu, kdo k tomu přístup mít nemá.

Osobně musím dodat, že ono „za jistých okolností“ je poměrně chabá vytáčka a originální vysvětlení „je tam hash“, které provozovatel poskytl Exekutorské komoře ČR, je ještě chabější. Tak jako tak je to pořád číslo a nemá zase tolik možných kombinací. O velmi krátkém čísle příloh navíc ani nemluvě.

EBF16

Nakonec i originální je, „aby se … zákazníci nemuseli stále dokola přihlašovat“. Jak to jen asi celý svět dělá, že se nemusíme pořád dokola přihlašovat do Facebooku, Twitteru, Gmailu a do tisíců dalších služeb?

Celé to nakonec vypadá, že provozovatel TaskPool stále nepochopil, jak zásadní problém je to, že důvěrné, osobní i citlivé informace od vlastních zákazníků či zákazníků jeho zákazníků nechal volně dostupné na internetu. 

Našli jste v článku chybu?
DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?