Netia wie kim jest "haker" - aktualizacja 4

19-05-2008, 15:56

Wczoraj, 15 maja br., na serwisie Wykop ukazała się informacja o możliwości łatwego włamania się na konta klientów Netii oraz wykorzystania go do doładowania swojego konta prepaid na koszt ofiary włamania. Operator podjął już kroki, aby zapobiec ewentualnym problemom, ale sprawa wciąż budzi pewne wątpliwości. Co więcej, Netia potraktowała osobę, która opisała możliwość wejścia na konta jej klientów jako włamywacza.

Opis sprawy z internetowymi kontami Netii na Wykop.pl
fot. - Opis sprawy z internetowymi kontami Netii na Wykop.pl
Wczoraj w serwisie Wykop.pl pojawił się wątek pt. Netia ułatwia oszustom kradzież pieniędzy! Użytkownik Wykopu o nicku zervis, podający się za klienta Netii opisał na swojej stronie w tekście zatytułowanym "Netia ułatwia oszustom kradzież pieniędzy!!" to, w jaki sposób dokonano rzekomego włamania na jego konto w usłudze Netia On-line (NOL) i obciążono go kosztami doładowania kont telefonicznych (prepaid) obcych ludzi.

Ktoś włamał się na moje konto (o którym nawet nie miałem pojęcia) i doładował sobie telefon, ba, zrobiły to dwie osoby, jedna 2x 100zł, druga 1x 100zł (...)Oczywiście nie jestem bez winy, powinienem zmienić mój numer PIN już dawno, ale zaraz.. jaki numer PIN? Ah ten na umowie o którym dowiedziałem się dopiero gdy kazano mi go zmienić, gdyż oszust użył go do zalogowania się na moim koncie 'netia online' o którym wcześniej nawet nie wiedziałem.. Dobrze więc, powinienem go zmienić, ale przecież po co miałbym to robić, jeśli wcale z niego nie korzystałem? Dochodzi kolejna sprawa, NETIA standardowo ustawia nasz PIN na 1234(sic!)!

Wydaje się rzeczą niedopuszczalną, żeby operator telefoniczny zakładał bez wiedzy klientów konta umożliwiające doładowania na ich koszt i przypisywała każdemu niezwykle prosty do odgadnięcia PIN. Spytaliśmy o tę sprawę rzeczniczkę Netii, panią Małgorzatę Babik.

- To klient wybiera sobie PIN (...) jeśli jest to tzw. PIN trywialny np. 1234 lub 5555 to proszony jest o jego zmianę - zapewniła Dziennik Internautów pani Babik.

Zrzut ekranu z zablokowanej strony zervisa z opisem sprawy kont Netii
fot. - Zrzut ekranu z zablokowanej strony zervisa z opisem sprawy kont Netii
Rzecznik operatora przyznała też, że Netia wie o doniesieniach dotyczących włamania i opisanych doładowań. Sam poszkodowany napisał w komentarzach na Wykop.pl, że zadzwonił wczoraj do operatora i poinformował o problemie. Wkrótce po tym Netia chwilowo wyłączyła usługę doładowań poprzez internetowe konta klientów.

Autor wpisu na Wykopie twierdzi ponadto, że bez problemu udało mu się wejść na kilka (10) cudzych kont, podając numer identyfikacyjny podobny do swojego oraz wpisując wspomniany trywialny PIN 1234, choć nie wszystkie próby skończyły się powodzeniem. Na potwierdzenie swoich słów zervis zaprezentował w swym tekście zrzuty ekranu z wszystkich wejść na konta kilku klientów.

Co więcej, zervis twierdzi, że po włamaniu droga do obciążenia konta ofiary doładowaniem obcego konta telefonicznego jest jeszcze prostsza. W swoim tekście tak oto przedstawia mechanizm autoryzacji dalszych operacji na koncie, opierając się na swoich przykrych doświadczeniach - doładowań obcych numerów telefonicznych z jego konta, ale bez jego wiedzy i zgody:

To co mnie wkurzyło to lista kodów potwierdzających do pobrania w formacie pliku PDF na komputer dowolnego złodzieja, wystarczy się zalogować losowo wybranym numerem klienta z PINem 1234 (o ile go nie zmienił) i aktywację listy haseł dzwoniąc z dowolnego numeru telefonu komórkowego (czyt. Np. z telefonu złodzieja). (...) wystarczy tylko dodać numer telefonu do 'naszej' listy numerów, a następnie wybrać kwotę jaką chcemy doładować 'nasz' telefon i potwierdzić kodem (tak, z pliku PDF!). Telefon doładowany.

Zrzut ekranu z dowodów włamania zervisa na obce konta
fot. - Zrzut ekranu z dowodów włamania zervisa na obce konta
Rzeczniczka Netii zapytana o to, czy takie mechanizmy były stosowane jako drugi element zabezpieczeń odpowiedziała krótko: "Nie!".

Według Małgorzaty Babik system autoryzacji w usłudze NOL jest dwustopniowy. Pierwsze logowanie przy wykorzystaniu numeru ID oraz PIN nadanego podczas podpisywania umowy to jedno. Jednak po zalogowaniu, by skorzystać z dostępnych usług trzeba jeszcze odpowiedzieć na dodatkowe pytanie np. o imię matki, a informacja o rzekomym pliku PDF z kodami potwierdzającymi transakcje to - zdaniem pani Babik - kłamstwo.

Trzeba przyznać, że cała sprawa wygląda obecnie bardzo dziwnie i jest w niej trochę niejasności. Osoba ukrywająca się pod nickiem zervis założyła sobie konto na Wykopie - jak twierdzi - tylko po to, by poinformować internautów o swoim przypadku. Z komentarzy umieszczonych pod wpisem zervisa wynika, że niektórzy użytkownicy potwierdzają część tych doniesień, inni z kolei twierdzą, że to nieprawda.

To, co za co z pewnością można zganić Netię to fakt, że PIN i numer identyfikacyjny klienta, czyli dane dostępowe do kont online, są wydrukowane w jednym miejscu - na umowie. Ktoś, kto wejdzie w posiadanie tego jednego dokumentu może automatycznie otrzymać dostęp do usług NOL. Warto zauważyć, że od lat standardem jest wysyłanie kodów PIN do kart płatniczych, czy innych usług wymagających logowania w oddzielnym dokumencie.

Operator natomiast bardzo poważnie podszedł do samej publikacji opisu włamania i osoby, która to przedstawiła. Na wniosek Netii strona z opisem została dziś rano zablokowana przez dostawcę hostingu. Co więcej, użytkownik Wykopu, który - jak twierdzi - najpierw został poszkodowany, potem dokonał włamań na inne konta w celu potwierdzenia swojej wersji zdarzeń, a następnie udowodnił to umieszczając w internecie opis historii oraz zrzuty ekranu z tych kont, może teraz zostać potraktowany jak przestępca.

- Na tym etapie zidentyfikowaliśmy hakera. Wiemy kto to jest. Zbieramy dowody, jak zbierzemy to wszystko przekażemy odpowiednim organom - powiedziała Dziennikowi Internautów w telefonicznej rozmowie Małgorzata Babik, rzecznik prasowy Netii.

Aktualizacja

W komentarzach pojawiły się informacje, że istnieje lub istniała wcześniej lista haseł do pobrania z konta klienta NOL służąca do aktywacji doładowań na Infolinii. Vard pisze:

- Na NOL użytkownik pobiera listę haseł, którą musi dodatkowo aktywować na Infolinii aby doładowanie mogło zadziałać.
- Nr PIN można zmienić na infolinii dzięki IVR

Moe jednak zaprzecza temu:

Jakoś na swoim koncie w netii nie widziałem nigdy pliku z kodami.

Wersję zervisa, że numery PIN dostarczane przez Netię były trywialne, czyli 1234 potwierdził także czytelnik o nicku jks:

Około rok temu (w maju) zamówiłem Net24 w Netii (niestety nie doszło do sfinalizowania umowy - z braku możliwości technicznych ze strony TP) W każdym razie PIN-em do mojego konta były cyfry 1234.

trywialny PIN przydzielony przez Netię. Źródło: zervis
fot. - trywialny PIN przydzielony przez Netię. Źródło: zervis
Zervis dostarczył w komentarzu także odnośnik do skanu dokumentu, z którego wynika, że to nie klient wybiera sobie PIN, jak twierdziła pani rzecznik Netii, tylko sam operator przydziela trywialne numery PIN typu 1234. Dokument pochodzi z początku bieżącego roku i jak wyjaśnia Zervis był przesłany razem z fakturą za usługi. Pozwoliliśmy sobie skorzystać z tego skanu uzupełniając materiały w tekście.

Jeśli ktoś z Czytelników, klientów Netii, spotkał się z podobnym przydziałem przez tę firmę trywialnych numerów PIN prosimy o kontakt z redakcją. Prosimy także by zervis skontaktował się z redakcją DI, będzie nam łatwiej ustalić wspólnie przebieg wydarzeń.

Aktualizacja 2

Umowa z Netią - automatycznie przypisane trywialne numery PIN
fot. - Umowa z Netią - automatycznie przypisane trywialne numery PIN
Otrzymaliśmy kolejną umowę (zdjęcie dokumentu) od jednego z Czytelników. Dziękujemy. Z tego dokumentu również niezbicie wynika, że to Netia narzucała klientom proste do odgadnięcia numery PIN, typu 1234. Oczywiście można było je potem zmienić na trudniejsze, ale trzeba pamiętać, że nie każdy klient - szczególnie starsze, słabiej zaznajomione z nowymi technologiami osoby - traktują to jako sprawę priorytetową, a bywa i tak, że komunikaty systemu telefonicznego są dla niektórych niezrozumiałe.

Wbrew temu, co sugeruje jeden z komentujących o nicku Ahim, z rozmowy telefonicznej Dziennika Internautów z panią rzecznik Netii wynika, że mówiąc o "hakerze", miała na myśli osobę, która poinformowała internautów o możliwości dostania się na obce konta użytkowników usługi Netia On-line.

Skontaktował się także z Dziennikiem Internautów sam poszkodowany i możemy Wam już przedstawić pełniejszy obraz całej sprawy z punktu widzenia Zervisa:

- Wszystkie wejścia na cudze konta (10x) których się dopuściłem zostały zarchiwizowane w postaci zrzutów. Nie wchodziłem ani więcej ani mniej razy. Wszystkie hasła to PINy 1234. Chciałem po prostu sprawdzić, jak ktoś mógł doładować sobie konto moim kosztem. Wejścia były szybkie - zalogowanie, zrzut, wylogowanie i kolejna próba. Nie dopuściłem się doładowań telefonów cudzym kosztem!

Zervis wyjaśnia również, że w przypadku opisywanej listy haseł do potwierdzeń transakcji, której istnieniu niektórzy czytelnicy zaprzeczają, to aby ją zobaczyć w swoim panelu NOL najpierw należało ją zamówić klikając w przycisk "zamów listę". Dopiero po tej czynności lista z hasłami (w pliku .PDF) stawała się widoczna dla użytkownika konta i można ją było pobrać na komputer i z niej korzystać.

Zervis przypomina ponadto, że po stwierdzeniu kradzieży na jego koncie oraz potwierdzeniu możliwości dostania się w niewyszukany sposób na cudze konta, sam wysłał wiadomość do Netii i poprosił o zablokowanie jego konta Netia On-line.

Z usług Netii korzystam od listopada? Nie wiem dokładnie, bo proces zmiany TP na Netię trwał około 2 miesięcy, co mnie trochę irytowało, tym bardziej, że z mojej strony nie było opóźnień. (...) Nie chciałem nikomu zaszkodzić, chciałem tylko, aby sytuacja która mi się przytrafiła nie dotknęła nikogo więcej, bo jak wytłumaczyć fakt, że znając PIN i ID abonenta można robić takie rzeczy? Podczas rozmowy w sprawie nieprawidłowych doładowań pracownik Netii poinformował, że należy zmienić PIN, bo tu właśnie był problem. Byłem w szoku gdy zobaczyłem "1234"!

Warto zauważyć, że zervis nie miał możliwości użyć opcji "reklamacja" przy nieprawidłowych doładowaniach, o czym poinformował pracowników Netii w przesłanym im 15 maja 2008 r. o godz. 16:31 zgłoszeniu.

Miał (pracownik Netii) wysłać też jakieś dokumenty do reklamacji doładowań.

pisze zervis do Dziennika Internautów. Na razie jednak - liczymy że ze względu na krótki okres, jaki upłynął od zgłoszenia włamania - nic nie otrzymał.

Po stwierdzeniu włamania na swoje konto i niezgodnych z jego wolą operacji zervis zadzwonił także pod numery, które zostały zasilone. Udało mu się zdobyć dane osoby, której konto telefoniczne zostało bezprawnie załadowane z konta zervisa kwotą 200zł. Dodzwonił się także do osoby, której numer został zasilony kwotą 100 zł.

- Poinformowałem kobietę o lewych doładowaniach na jej numer, podając datę i czas zdarzenia, zrobiło się jej głupio i szybko skończyliśmy rozmowę.

Niestety łatwiej było o kontakt z osobami, których numery zostały zasilone na jego koszt, niż z operatorem.

Martwi mnie to, że Netia SA może ciągać po sądach nie tego człowieka, który wywołał całe zamieszanie. To nie ja widnieje na umowie - musiała być ona sporządzona na osobę, która była właścicielem numeru TP. Zresztą pisałem w tej sprawie do Netii z prośbą o kontakt, podając moje dane i numer telefonu. Nie było odzewu, tak jak poprzednio gdy prosiłem o kontakt.

Zervis przedstawił Dziennikowi Internautów także wgląd w korespondencję z dostawcą hostingu i przebiegiem sprawy zablokowania jego konta, które zostało najprawdopodobniej zlecone przez Netię. Dostawca usługi poinformował o otrzymaniu zgłoszenia, że na koncie zervisa "znajdują się treści niezgodne z prawem". Wkrótce potem konto zostało zablokowane "Robimy to tylko i wyłącznie dlatego, że na stronie xxxxx pokazuje Pan metody włamania na konta - co jest zabronione." - wyjaśnili administratorzy usługi.

Dziennik Internautów będzie monitorował na bieżąco losy sprawy zervisa i kont Netia On-line. Jeśli macie dowody na to, że operator narzucał klientom "trywialne" numery PIN, to jeszcze raz prosimy o podsyłanie ich skanów lub zdjęć na adres e-mail redakcji DI.

AKTUALIZACJA 3

Otrzymaliśmy kolejną porcję informacji od czytelników, w tym konsultantów Netii. Jeden z nich, podpisujący się jako "szeregowy pracownik Netii znający sprawę z życia", pisze w e-mailu do Dziennika Internautów:

Fakt jest taki, że ani Netia, ani niektórzy użytkownicy nie mają racji. Umowy zawierane z Netią poprzez infolinię, internet czy handlowca są wypełniane nie przez automat a przez człowieka. Nie ma procedury w Netii co do PINu.
Teoretycznie jeśli dzwonimy na infolinie i zamawiamy usługę telefonista powinien zapytać o PIN do pierwszego logowania. Jeśli tego nie zrobi to pewnie standardowo wpisze w dokumencie 1234. Natomiast w internecie nie ma rubryki na podanie PINu, więc pewnie przez osoby wypisujące i wysyłające umowę standardowo wpisywane jest 1234.

W tym samym liście konsultant zapewnia ponadto, że przy zawieramy umowy bezpośrednio z handlowcem, ma on obowiązek poinformować o fakcie istnienia Netia On-line i do czego służy kod PIN. Dodaje również, że w "Netii nie ma problemu ze zmianą PIN i dobrze jest to zrobić zaraz po zalogowaniu się na Netia On-line, czy też na infolinii".

Z kolei inny czytelnik, który jest klientem Netii od ponad roku, potwierdza, że przy podpisywaniu umowy został mu przydzielony prosty do odgadnięcia numer PIN. Klient ten zastrzega jednak, iż został słownie poinformowany przez pracownika Netii o konieczności zmiany numeru PIN ze względu na bezpieczeństwo konta:

Ja podpisałem umowę ciut ponad rok temu i PIN, jaki mi został przydzielony - 1111 - raczej też nie spełniał wymogów bezpieczeństwa. Pragnę jednak zaznaczyć że podpisując umowę spotkałem się z pracownikiem Netii osobiście (...) i zostałem poinformowany "dla bezpieczeństwa powinienem zmienić PIN". Jednak przy próbie zalogowania się mój PIN nie zadziałał (...) i musiałem odblokować konto dzwoniąc co Netii.

Warto jednak zauważyć, że wiele osób zawierało umowy na odległość i bardzo wątpliwe jest, by kurierzy dostarczający dokumenty udzielali takich informacji (o zmianie PIN) klientom Netii.

Kolejny e-mail, jaki przesłano do Dziennika Internautów, pochodzi tym razem od byłego konsultanta Netii. Jego słowa rzucają nieco silniejsze światło na sprawę przydzielania numerów PIN w Netii:

Do niedawna pracowałem jako konsultant ds. klientów biznesowych w Netii.
Podczas szkolenia dostaliśmy polecenie, aby na umowach pole PIN wypełniać samemu i wpisywać 1234 lub 123456 (zależnie od tego, do czego to był PIN - usługi głosowe czy internetowe), chyba że klient wyraźnie sam z siebie zażyczy sobie, aby ustawić inny PIN (wersję tę może potwierdzać nadesłane przez czytelnika zdjęcie jednej z umów - przyp. red). Ale sugestią na szkoleniu było, żeby nawet o tym nie wspominać jako o zupełnie nieistotnej rzeczy. Tak więc wszyscy konsultanci wpisywali od razu na umowach ten banalny PIN. Tak na wszelki wypadek, żeby potem przy przepisywaniu umów do systemu było mniej roboty.

Jak widać po tym ostatnim z przytoczonych listów, procedury bezpieczeństwa przy przydzielaniu numerów PIN prawdopodobnie nie były zachowane.

AKTUALIZACJA 4

Z informacji jakie przekazał nam zervis wynika, że doładowania skradzione dzięki włamaniom na konta NOL były sprzedawane na aukcji Allegro. O fakcie tym poinformowała zervisa posiadaczka telefonu, który został doładowany na jego koszt.

Konto użytkownika sprzedającego doładowania zostało zawieszone. Niebawem postaramy się przekazać kolejne informacje na ten temat.


Źródło: Wykop.pl, inf. własna
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
Tematy pokrewne:  

tag Wykop.pltag prepaidtag Netiatag doładowania
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy