Wczoraj portal Niebezpiecznik donosił o dość nietypowej sytuacji, która spotkała jednego z klientów UPC. Monter tej firmy, wezwany do instalacji sprzętu, miał ze sobą kartę zlecenia, na której znalazły się dane, które znaleźć się tam nie powinny. Oprócz standardowego imienia, nazwiska i adresu e-mail wydrukowano też... hasło do skrzynki pocztowej UPC.
Przeczytaj też: Jak obrabować bankomat? Scyzorykiem i...
Nie byłoby w tym nic dziwnego, bo klienci UPC otrzymują hasła losowe, dopiero przy samodzielnej konfiguracji je zmieniają. Bohater historii był jednak klientem firmy od dłuższego czasu i swoje domyślne hasło dawno zmienił. Skoro więc zostało wydrukowane dla montera, może to, jak zauważa Niebezpiecznik, oznaczać:
a) hasło może nie być w bezpiecznej formie (tj. w formie jednokierunkowej funkcji skrótu) przechowywane na systemach UPC. b) do hasła dostęp może mieć dowolny pracownik, a co za tym idzie, ponieważ ludzie często korzystają z jednego hasła do wielu systemów, istnieje ryzyko, że pracownicy UPC mogliby próbować przejmować inne konta klientów, sprawdzając czy to samo hasło przypadkiem nie pasuje do imiennej skrzynki abonenta na GMailu, albo do konta na Facebooku.
Redakcja portalu Antyweb postanowiła zapytać o to dlaczego monter dysponował zmienionym hasłem klienta. UPC zapewniło, że to "jednostkowy przypadek".
"Bezpieczeństwo naszych klientów jest dla nas najważniejsze, dlatego dokładamy wszelkich starań, aby było na jak najwyższym poziomie. Hasła do poczty klientów przechowujemy w bezpieczny sposób. W przypadku instalacji internetu nowemu klientowi generujemy hasło losowe, które jest zapisywane na WO, by instalator/technik mógł przeprowadzić instalacje usługi.[...] System z założenia uniemożliwia natomiast drukowanie hasła ustawionego już przez samego klienta. W tym konkretnym przypadku system zachował się jednak nieprawidłowo, ale natychmiast po otrzymaniu sygnału skontaktowaliśmy się z klientem w celu zmiany hasła, wyjaśnienia sytuacji i podjęliśmy kroki uniemożliwiające wystąpienie tego błędu w przyszłości."
Nie jesteśmy do końca przekonani tymi tłumaczeniami, brakuje w nich szczegółów technicznych, na co zwraca uwagę Niebezpiecznik.pl. Przyjmujemy wyjaśnienia UPC za dobrą monetę, ale radzimy: zmieńcie hasło do usługi pocztowej UPC na niepowtarzalne. Bez względu na to, kto ma dostęp do hasła ewentualne straty zostaną zminimalizowane. Osobną kwestią pozostaje to, że klienci UPC zapewne nie wiedzą, że ktoś bez ich wiedzy może poznać i wydrukować zmienione hasło. A co jeśli służy ono również do logowania do Facebooka lub banku?
Czym to grozi?
Dlaczego kwestia haseł jest tak istotna? Po pierwsze media wielokrotnie donosiły o tym, że cyberprzestępcy wykradali hasła przechowywane jawnym tekstem. Dobrze, żebyśmy mieli całkowitą pewność, że firma, której powierzamy dane nie ułatwia zadania hakerom (chociażby takim jak ten )
Po drugie, warto przy tej okazji pamiętać o zmianie domyślnych haseł. Routery, kamery internetowe i skrzynki e-mailowe do najczęstsze "wektory ataku". Jeśli nie zmienimy hasła w routerze ktoś może zmienić jego ustawienia zdalnie i przekierować nas na fałszywą stronę banku . Opisywaliśmy historię mężczyzny, który w taki sposób stracił 40 tysięcy złotych . Pozostawienie domyślnego hasła w kamerze IP może sprawić, że ktoś obcy będzie nas obserwował . Zaniedbanie hasła do maila może spowodować utratę danych , konta na Facebooku. Te wszystkie zagrożenia mogą skończyć się albo poznaniem naszych sekretów, albo stratą pieniędzy.
O bezpieczeństwo i odpowiednie standardy muszą dbać więc wszyscy - zarówno użytkownicy, jak i firmy, którym powierzamy nasze dane. Wydaje się, że to oczywiste, a wciąż trzeba o tym przypominać...
