Projekt firmy Entellico - Blupill - ma pozwalać klientom operatorów GSM, wyszukiwać najtańsze i najbardziej dopasowane do swoich potrzeb taryfy. Przynajmniej w teorii, gdyż nasi czytelnicy twierdzą, że nie w każdym przypadku ta sztuka mu się udaje. Pisząc o samej usłudze zauważaliśmy, że pewne wątpliwości budzą jej zabezpieczenia i sposób działania. I właśnie druga z wymienionych rzeczy nie spodobała się Grupie TP , która ostro zareagowała na uruchomienie usługi. Prawnicy firmy twierdzą nawet, że osoby korzystające z Blupill naruszają podpisany przez siebie regulamin i narażają się na rozwiązanie umowy przez "pomarańczowego operatora" .
Strach czy uzasadnione wątpliwości?
W trakcie oficjalnej prezentacji Projektu Blupill, jego szef - Sebastian Barylski - zaznaczał, że Entellico nie chce namawiać ludzi do zmiany operatora . Celem firmy jest zmniejszenie asymetrii informacji rynkowej i umożliwienie klientom oszczędzania pieniędzy.
Tymczasem, jak donosi serwis rpkom.pl , prawnicy Grupy TP mają poważne zastrzeżenia do usługi. Jej rzecznik - Wojciech Jabczyński - powiedział na łamach serwisu, że ograniczony dostęp do informacji i brak gwarancji w zakresie wiarygodności i bezpieczeństwa Blupill, budzi szereg wątpliwości. Na tym Jabczyński jednak nie poprzestał.
Poważnym problemem jest też przyjęty model działania, który wymusza na użytkowniku podanie oprócz numeru telefonu, również kodu abonenckiego. Jest on kluczem do zarządzania kontem klienta i stanowi jeden z najważniejszych elementów zabezpieczenia klienta przed nadużyciami czy nawet przejęciem konta. Zgodnie z regulaminem świadczenia usług telekomunikacyjnych, kod abonencki jest dostępny wyłącznie dla abonenta i operatora (oraz upoważnionych podmiotów działających na zlecenie operatora). Udostępnienie go osobie trzeciej stanowi naruszenie regulaminu i może być podstawą do rozwiązania przez operatora umowy, ze wszystkimi tego konsekwencjami - dodał rzecznik Grupy TP na łamach rpkom.pl.
Podobne wątpliwości ma przedstawiciel innego operatora GSM, który zaznaczył, że zaufanie jego firmy do usługi Entellico jest poważnie ograniczone.
W obronie Projektu Blupill stanęła natomiast Anna Streżyńska , prezes Urzędu Komunikacji Elektronicznej. W odpowiedzi na artykuł rpkom.pl powiedziała ona, że wypowiedź rzecznika Grupy TP pokazuje, iż operatorzy będą chcieli blokować usługę lub będą straszyli swoich abonentów. Co zrobi wtedy UKE?
Jeśli tak będzie, spotka się to z naszym zdecydowanym przeciwdziałaniem. Kod abonencki jak i hasło do konta na portalu jest własnością abonenta a nie operatora. (...) Będziemy sygnalizować Urzędowi Ochrony Konkurencji i Konsumentów zagrożenie wprowadzeniem do regulaminów przez operatorów komórkowych zapisów zastrzegających zakaz korzystania z kodu przy tej usłudze. Według mojej wiedzy w zaproponowanej usłudze nie dochodzi w żadnym momencie do udostępnienia kodu osobie trzeciej. Abonent wykorzystuje tylko aplikację, ale kod pozostaje jego. Ponadto, uważam ze za wyraźną zgodą i przy świadomości abonenta może dojść do przekazania kodu dowolnej osobie trzeciej - zapowiedziała Streżyńska w kolejnym materiale rpkom.pl .
Bezpieczeństwo Blupill - jak jest naprawdę?
Po prezentacji projektu, która odbyła się dwa tygodnie temu, mieliśmy podobne obawy jak Grupa TP. Poprosiliśmy więc przedstawicieli Entellico o dalsze dane na temat bezpieczeństwa użytkowników. Firma przesłała informację, z której dowiadujemy się, że proces wymiany informacji między usługą a komputerem użytkownika chroniony jest przez "najsilniejsze protokoły i certyfikaty bezpieczeństwa" stosowane między innymi przez banki .
Są nimi 256-bitowe Thawte Web Server Certificate with EV oraz 256-bitowy protokół SSL Thawte. Sam Barylski dodał też, że bezpieczeństwo prywatnych danych użytkownika to absolutny fundament projektu Blupill.
Zasadę "Nigdy nie dotykaj prywatnych danych użytkownika" wprowadziliśmy zanim jeszcze powstał pierwszy kod usługi i jej architektura. Jest dla nas święta. Gdybym nie ona, blupill pewnie udałoby nam się zrobić znacznie szybciej i za znacznie mniejsze pieniądze. Ale dla nas poczucie bezpieczeństwa użytkownika jest najważniejsze - warto było zrobić usługę tak, jak nikt dotąd.
Co ciekawe, informacji tych nie udało nam się znaleźć na głównej stronie serwisu czy na podstronach "O nas", "O usłudze" i "Pomoc". Zamiast tego, przed podaniem swoich danych zobaczyć można dwa następujące zdania.
Dane, które podajesz szyfrujemy i dobrze zabezpieczamy na serwerach, które nadzorują specjaliści od bezpieczeństwa systemów informatycznych.
Bezpieczeństwo przechowywania danych nadzoruje też Generalny Inspektorat Ochrony Danych Osobowych.
Nazwy Thawte Web Server Certificate with EV czy protokół SSL Thawte prawdopodobnie nie mówią nic przeciętnemu użytkownikowi. Anonimowi specjaliści od bezpieczeństwa systemów informatycznych również. Pomimo upływu dwóch tygodni od startu wersji beta usługi i komunikatów takich jak nasze, nie widać, by zespół odpowiedzialny za Blupill wyraźnie, zrozumiale, a przede wszystkim szybko akcentował jak bezpieczny jest użytkownik korzystający z Projektu Blupill . Wymiana zdań między Grupą TP i UKE oraz anonimowe wypowiedzi przedstawiciela innego operatora wskazują natomiast jak ważne stało się to zagadnienie.
Krzysztof Pielesiek
[za: rpkom.pl ]
