Hlavní navigace

Helpdesk na webu může být problém, když ochranu dat neberete vážně

Autor: Isifa
Daniel Dočekal

Záznamy firem o požadavcích na servis i zpracování dat bylo možné veřejně najít na internetu, včetně zpracovaných výsledků s řadou velmi citlivých údajů.

Pokud jste například exekutorský úřad a váš dodavatel vám poskytne nějaký systém fungující na internetu, měli byste si dát velký pozor, aby vše, co v něm probíráte, nebylo veřejně dostupné

Může to totiž znamenat, že se kdokoliv dostane k vašim žádostem o zpracování „reportu oprávněného“ a následně i k vyhotovené zprávě. A to včetně záplavy velmi citlivých informací, ať už osobních údajů, finančních dat, nebo čehokoliv jiného, co může být zneužito.

Přitom to bylo tak jednoduché – jeden z uživatelů na Twitteru upozornil na existenci adresy www.taskpool.net/ser­vlet/HelpdeskView?id=4307314116491&lan­g=cs s ukázkou právě něčeho takového, jako je výše popsané. Adresa, která nevyžadovala žádné přihlášení, ověření identity, prostě nic. 

A jak už je vidět z povahy adresy, ono „id“ je numerický údaj, který (zjednodušeně) stačí měnit – v tomto případě ne zcela prostě zvyšovat, ale nedá příliš práce zjistit, že tady někdo použil jenom „security through obscurity“ a něco do skutečného platného „id“ přidává.

Při zkoumání toho, co dostanete, se navíc objeví i další užitečná adresa http://www.taskpool­.net/file.do?hd=true&id=2675923, kde je to ještě horší. 

Prostě u příloh vložených k úlohám se nikdo nezabýval tím, že jsou veřejně přístupné. Což nakonec znamená, že bylo navíc možné se dostat k přílohám ke všem výše uvedeným úlohám z „helpdesku“.

TaskPool.net je česká „cloudová“ služba helpdesku a při procházení toho, co veřejně věší na internet, najdete řadu subjektů, které je používají buď přímo, nebo prostřednictvím jejich IT servisní organizace. 

Dnes už výše uvedené adresy nefungují. TaskPool.net velmi rychle zareagoval na to, že jsme kontaktovali výše zmíněný exekutorský úřad, který – což je nutno zdůraznit – velmi rychle a korektně reagoval. Vyžádal si informace a vysvětlení a zjevně to hodně pomohlo k tomu, že během několika hodin (ve čtvrtek dopoledne) TaskPool.net zamezil tomu, že jste se volně mohli procházet věcmi, které rozhodně být přístupné neměly.

Sám TaskPool (a jeho team leader Pavel Novák) k tomu Lupě poskytl vysvětlení, které ukazuje na to, že za to vlastně mohou zákazníci:

V konfiguraci některých našich zákazníků umožňuje náš systém přístup do historie bez hesla. Je to z toho důvodu, aby se jednotliví zákazníci nemuseli stále dokola přihlašovat. Toto se dá změnit v konfiguraci tak, že se zapne ověření a při každém pokusu o přístup je vyžadováno jméno a heslo uživatele.

K čemuž je nutné dodat jenom to, že svádění zásadního bezpečnostního nedostatku na nezkušené a neinformované zákazníky nefunguje.

Pavel Novák ale ještě napsal: 

Jednotlivé odkazy obsahují kombinaci čísel, která definuje odkaz na konkrétní požadavek. Tuto kombinaci lze za jistých okolností uhodnout a dostat se tak na náhodné požadavky jiných zákazníků. Ještě dnes provedeme update systému, který sníží tuto šanci na nulu. Využijeme k tomu hashovací funkci sh-256, která je více než dostatečná.

Amatérismus v online podobě

Pokud ID bude sha-256, tak to sice volný přístup přímým zvýšením čísla už neumožní, ale stále je to opět „security through obscurity“, a pokud bude někdo chtít, tak si prostě toho robota se všemi sha-256 kombinacemi může napsat a poslat ho na jejich web. Nehledě na to, že stále zůstává problém v tom, že případná „prozrazená“ adresa bez žádosti o přihlášení bude znamenat, že se vše stane přístupné někomu, kdo k tomu přístup mít nemá.

Osobně musím dodat, že ono „za jistých okolností“ je poměrně chabá vytáčka a originální vysvětlení „je tam hash“, které provozovatel poskytl Exekutorské komoře ČR, je ještě chabější. Tak jako tak je to pořád číslo a nemá zase tolik možných kombinací. O velmi krátkém čísle příloh navíc ani nemluvě.

WT100

Nakonec i originální je, „aby se … zákazníci nemuseli stále dokola přihlašovat“. Jak to jen asi celý svět dělá, že se nemusíme pořád dokola přihlašovat do Facebooku, Twitteru, Gmailu a do tisíců dalších služeb?

Celé to nakonec vypadá, že provozovatel TaskPool stále nepochopil, jak zásadní problém je to, že důvěrné, osobní i citlivé informace od vlastních zákazníků či zákazníků jeho zákazníků nechal volně dostupné na internetu. 

Našli jste v článku chybu?