Tydzień temu, 12 lipca, do redakcji Dziennika Internautów dotarło zgłoszenie dotyczące nieprawidłowości związanych z odzyskiwaniem hasła do komunikatora GG (dawniej Gadu-Gadu). Czytelnik napisał:

fot. - E-mail z odzyskanym hasłem otrzymany przez Czytelnika, zrzut ekranu

Niedawno miałem problem z zalogowaniem się do protokołu Gadu-Gadu. Z uwagi na prawdopodobną zmianę hasła dałem przypomnij hasło. Po pewnym czasie na mojego maila przyszła informacja. Ku mojemu zdziwieniu w mailu było zawarte moje hasło, jakie ustawiałem kilka lat temu. Hasło było zawarte w postaci tekstowej, czyli nie zostało w żaden sposób zakodowane w serwisie Gadu-Gadu. W celu potwierdzenia zmieniłem hasło na nowe i dałem przypomnienie jeszcze raz. 12-znakowe hasło zostało mi wysłane, jakbym sam je wpisywał.

Czytelnicy Dziennika Internautów mogą pamiętać, że zajmowaliśmy się podobną sprawą dwa (!) lata temu (zob. GG: Dodano szyfrowanie, a co z hashowaniem haseł?). Pytani przez nas eksperci ds. bezpieczeństwa - Piotr Konieczny i Michał Piszczek - zgodnie wówczas stwierdzili, że ewentualna kradzież bazy danych zawierającej hasła przechowywane w postaci jawnej może przysporzyć użytkownikom wiele kłopotów.

Czytaj także: Hashowanie haseł użytkowników - czy to konieczne?

Są trzy dowody (nie włączając tego z maila czytelnika) potwierdzające, że hasła do komunikatora są przechowywane w postaci jawnej - odpisał Michał Piszczek na nasze zapytanie sprzed kilku dni. Oto one:

1. Regulamin świadczenia usług drogą elektroniczną przez GG Network S.A.
   § 2 p. 14 i § 5 p. 5
   mówi, że hasło (nie skrót hasła) jest elementem Profilu użytkownika i jest zapisywane z chwilą zakończenia procedury rejestracji.


2. Wpis w rejestrze GIODO
   http://egiodo.giodo.gov.pl/form_ver4.dhtml?form_id=1201053
   gdzie w sekcji C.8. jako inne dane osobowe GG NETWORK S.A. wymienia: Hasło do komunikatora Gadu-Gadu (nie skrót hasła).
   Ciekawa jest też sekcja A.3 - wynika z niej, że administrator danych GG NETWORK S.A. powierzył w drodze umowy zawartej na piśmie przetwarzanie danych firmom: ATM S.A., ul. Grochowska 21a, 04-186 Warszawa oraz OVH, 140 Quai du Sartel, 59100 Roubaix, France.


3. Opis protokołu używanego przez Gadu-Gadu z najnowsze wersji biblioteki libgadu
   Logowanie do usługi przebiega w skrócie tak:
   • Po połączeniu się do serwera Gadu-Gadu otrzymujemy pakiet, który zawiera ziarno (seed) - wartość, którą razem z hasłem przekazuje się do funkcji skrótu.
   • Funkcja skrótu to SHA1 (kiedyś używano słabszej - GG32). Skrót SHA-1 obliczamy z połączenia hasła (bez \0) i binarnej reprezentacji ziarna.
   • Gdy mamy już skrót, możemy odesłać pakiet logowania.
   A zatem podczas samego procesu logowania hasło nie jest wysyłane w postaci jawnej, ale algorytm ujawnia, że na serwerach hasło jest w takiej właśnie formie przechowywane.

Czy GG Network S.A. powinno przechowywać hasła użytkowników w postaci jawnej? Oczywiście, że nie - odpowiada Michał Piszczek. - Temat był już wielokrotnie omawiamy, więc skupię się na drugim aspekcie całej sytuacji - użytkowniku i jego roli. Bezpieczeństwo użytkownika jest w dużej części w jego rękach. Najprostszym zabezpieczeniem jest stosowanie w każdej usłudze innego hasła. Dzięki temu nawet gdy nasze hasła z jednego serwisu wyciekną do sieci, będzie to tylko stary klucz do i tak już rozbitych drzwi, a nie uniwersalny klucz do naszej elektronicznej tożsamości.

Co na to GIODO?

Warto również pamiętać, że każdy administrator danych zobowiązany jest do zapewnienia odpowiedniej ich ochrony, co wynika z rozdziału 5 ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej, m.in. rozporządzenia ministra spraw wewnętrznych i administracji, które dotyczy zabezpieczania danych osobowych przetwarzanych w systemach informatycznych.

Czy ochrona zapewniana przez GG Network S.A. jest odpowiednia? Pytając o to dwa lata temu, nie otrzymaliśmy jednoznacznej odpowiedzi - biuro GIODO poinformowało, że przechowywanie haseł do systemu w postaci jawnej może stanowić lukę w jego bezpieczeństwie, ale biorąc pod uwagę inne mechanizmy bezpieczeństwa, może to nie być istotne. Odpowiedź, którą uzyskaliśmy w tym tygodniu, była o wiele bardziej stanowcza. Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego GIODO, napisała:

(...) sposób odzyskiwania zapomnianego hasła za pomocą poczty elektronicznej na adres podany podczas zakładania konta użytkownika, bez jednoczesnego wymuszenia zmiany tego hasła na inne, nie jest metodą bezpieczną. Przesyłane w ten sposób hasło może zostać przechwycone przez nieuprawnione osoby i może dojść do podszywania się innych osób.

Przechowywanie haseł w bazie danych systemu w postaci jawnej jest niedopuszczalne z punktu widzenia bezpieczeństwa systemu i jego użytkowników, gdyż włamanie się do takiego systemu równoznaczne jest z kradzieżą tożsamości wszystkich zarejestrowanych w danym systemie użytkowników i stworzenie możliwości nadużyć w postaci podszycia się nieuprawnionych osób pod uprawnionych użytkowników.

Jednocześnie należy mieć na uwadze, że przesłanie - do użytkowników - za pomocą poczty elektronicznej starego hasła w postaci jawnej nie oznacza równocześnie, że w systemie nie zastosowano szyfrowania haseł. Niezależnie bowiem od opisanej w pytaniu metody kodowania haseł przy użyciu funkcji MD5, SHA-1 czy SHA-2 możliwe jest stosowanie innych autorskich metod szyfrowania, którymi w pełni zarządza administrator systemu, w tym również takich, które umożliwiają odszyfrowanie zapisanego w postaci zaszyfrowanej w bazie danych hasła i przesłanie go użytkownikowi w postaci jawnej.

GG: Hasła przechowujemy w bezpieczny, szyfrowany sposób

Artykuł byłby niepełny, gdybyśmy nie przedstawili stanowiska strony najbardziej zainteresowanej, czyli GG Network S.A., producenta komunikatora GG. Jej rzecznik Jarosław Rybus podziękował za sygnał i w nadesłanym wczoraj wieczorem e-mailu wyjaśnił: W trosce o bezpieczeństwo wprowadziliśmy nową formułę przypominania hasła i nie jest ono już wysyłane w otwartej postaci e-mailem do użytkownika. Nową bezpieczną zasadę udostępniliśmy w nowej platformie komunikacyjnej od GG - http://beta.gg.pl/info/

W starym centrum logowania, dostępnym poprzez WWW, z którego skorzystał Czytelnik - jak napisał przedstawiciel GG - mogły pojawić się jeszcze pozostałości poprzedniej formuły. Otrzymaliśmy zapewnienie, że również tam w najbliższych dniach zostaną wprowadzone niezbędne zmiany, tak aby hasło nie było przesyłane w postaci jawnej. Na koniec Jarosław Rybus zapewnił: hasła są u nas przechowywane w bezpieczny, szyfrowany sposób.

Wnioski możecie wyciągnąć sobie sami, zachęcamy do przedyskutowania ich w komentarzach.

Czytaj także: GG: Dodano szyfrowanie, a co z hashowaniem haseł?