Zainspirowani mailem od czytelnika dotyczącym procedury zmiany hasła do kont w portalu o2.pl sprawdziliśmy pozostałych dużych operatorów kont pocztowych i ku naszemu zaskoczeniu niedopatrzenie o2 o którym nas poinformowano nie było odosobnionym przypadkiem.
WP chwali się największą ilością konto pocztowych w Polsce ale naszym skromnym zdaniem zabezpieczenia owych kont są niestety niewystarczające, będąc najpewniej wynikiem niedopatrzenia niż celowego działania. Chodzi oczywiście o zastosowanie (lub jego brak) protokołu SSL do autoryzacji użytkowników.
Podczas logowania do kont zarówno w O2 jak i WP, nazwa użytkownika I hasło są przesyłane w postaci zaszyfrowanej – dokładnie tak jak powinno się to odbywać, jednak podczas zmiany hasła (gdy użytkownik jest już zalogowany) transakcja odbywa się bez użycia protokołu SSL co oznacza przesłanie starego i nowego hasła w postaci jawnej. Większość użytkowników jest zupełnie nieświadoma problemu lub wręcz przekonana, że transakcja zmiany hasła jest bezpieczna – niestety tak nie jest.
Scenariusze ataku są bardzo proste – niezabezpieczona sieć bezprzewodowa, dowolna sieć korzystająca z popularnych “routerów” (na przykład tych używanych do Neostrady), itp. Wszędzie tam gdzie można podsłuchać transmisję, hasło będzie czytelne dla każdego – wystarczy tylko słuchać. W takiej sytuacji przejęcie konta innej osoby jest trywialnie proste (portale same podają hasła do kont na srebrnej tacy) a sam użytkownik jest całkowicie bezbronny i nie będzie w stanie stwierdzić faktu przejęcia hasła przez osobę trzecią, niezależnie od tego jak dobrze zabezpieczony może mieć swój własny komputer.
Nie sądzimy aby przedstawiony powyżej problem był celowym działaniem portali – jest to raczej niedopatrzenie podczas konfiguracji ich systemów; niedopatrzenie, które może mieć ogromne konsekwencje dla wielu użytkowników. Całe szczęście naprawienia tego błędu nie powinno być wielkim problemem.
Zastanawiający jest jedynie fakt, jakim cudem tak trywialny błąd miał prawo zaistnieć w tak dużych portalach? Czyżby operatorzy nie sprawdzali swoich własnych systemów i cały swój sukces budowali w oparciu o pozytywne opinie użytkowników? Drodzy operatorzy – te czasy już dawno minęły… czas nieco lepiej pilnować Swoich systemów a co najważniejsze procesów które w nich zachodzą.
Odpowiedzi
To chyba celowe działanie
To chyba celowe działanie tych portali, w celu zmniejszenia obciążenia serwerów, tylko kosztem - bezpieczeństwa!
Zmniejszenie obciążenia? To
Zmniejszenie obciążenia? To jak uważasz - jak często ktoś zmienia hasło w stosunku do logowania się? To raczej zwykłe przeoczenie. Jestem jednak ciekawy, czy podczas zmiany hasła gdzieś jest przesyłany login użytkownika, czy jedynie hasło? Jeśli samo hasło, to i tak na niewiele się to może przydać.
wsumie masz racje, login jest
wsumie masz racje, login jest przesyłany
Jak by nie patrzeć jest nie
Jak by nie patrzeć jest nie dociągniecie .A portale nie widzą tego problemu .
a login nie jest w sesjach
a login nie jest w sesjach przypadkiem ? albo w ciachach ?
W WP już jest po SSL'u.
W WP już jest po SSL'u.
:/ Sory ale procedura zmiany
:/
Sory ale procedura zmiany hasła przeprowadzana jest stosunkowo rzadko, trzeba podzielić to przez ilość niezabezpieczonych sieci z których taka procedura się odbędzie...
Jak dla mnie troche szukanie dzuiry w całym, impact bliski zeru.
Jednocześnie zgadzam się, to powinno zostać jak najszybciej poprawione,
Myślę,że nie tyle chodzi o
Myślę,że nie tyle chodzi o impakt co zwrócenie uwagi na to ,że użytkownicy oczekują nie tylko kolejnego śledzika :>