„Viskas prasideda nuo smalsumo ... Ar kada nors matėte mobiliąją programėlę, kurioje prašoma išjungti „WiFi“ ir perjungti į mobilųjį internetą, kad ja galėtumėte naudotis? Lietuvoje yra bent kelios tokios, siūlančios paslaugą be prisijungimo, jei esate prisijungę prie mobiliojo interneto“, – tinklaraštyje rašo J.Lobačevskis ir atkreipia dėmesį į tris porgramėles: „m.Ticket“, „m.Parking“ ir „MoQ“.
Pasak saugumo entuziasto, problema yra tame, kad mobiliojo ryšio teikėjas vartotojo informaciją laisvai atiduoda tiems trečiųjų šalių serveriams, kurie tik per procesą, vadinamą „HTTP Header Enrichment“, jos paprašo.
J.Lobačevskis teigia, kad tai nėra problema, jei visa tai yra sukonfigūruota korektiškai ir informacija atiduodama „baltajame sąraše“ (angl. whitelist) esantiems partneriams. Bet saugumo specialistas atkreipia dėmesį, kad ši problema itin aktuali „Tele 2“ operatoriui, nes jis informaciją į HTTP užklausą pateikia neužšifruotą.
„Galbūt nematote kame problema – bet tai yra tiesiog puikus „kompiuterinis slapukas“ (angl. cookie) bet kuriai svetainei pasaulyje. Nesvarbu ar pakeičiate naršyklę, išvalote „slapukus“, įsijungiate „inkognito“ režimą – jus vis tiek identifikuoja kaip tą patį vartotoją“, – rašo J.Lobačevskis. Anot jo, interneto svetainėms tai suteikia galimybę sekti vartotoją.
„Tele2“ išjungė mokėjimo paslaugas
Internete pasklidus kalboms apie šią klaidą, trečiadienio rytą „Tele2“ išplatino pranešimą, kuriame nurodė, kad „Tele2“ tinkle laikinai išjungiamos mokamos paslaugos – negalima atsiskaityti už automobilių stovėjimą, naudotis viešojo transporto bilietais, taip pat įsigyti papildomų mobiliojo ryšio duomenų paketų.
„Siekdama apsaugoti klientų asmens duomenis, galimybę naudotis paslaugomis laikinai apribojo pati įmonė. Sprendimą bendrovė priėmė paaiškėjus, kad iškilo rizika, jog mokėjimo metu tam tikri klientų duomenys gali tapti prieinami trečiosioms šalims. „Tele2“ neturi informacijos, ar tokių atvejų buvo, tačiau klientų ir jų asmens duomenų saugumas yra didžiausias įmonės prioritetas. Apribodama paslaugų teikimą bendrovė šį saugumą užtikrina. „Tele2“ atsiprašo klientų už nepatogumus ir deda visas pastangas, kad paslaugos įprasta tvarka veiktų artimiausiu metu“, – rašoma pranešime spaudai.
„Telia“ neišjungs, bet padės programėlių kūrėjams
Reaguodama į kilusią situaciją, „Telia“ išplatino tokį pranešimą:
Įvardinta saugumo spraga yra ne kas kita, kaip atgyvenęs slapukų (angl. cookies) rinkimo būdas, taip siekiant supaprastinti vartotojo patirtį jungiantis prie įvairių internetinių paslaugų. Prieš keletą metų toks informacijos rinkimo būdas buvo apribotas taikant Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą (BDAR) ir telefonų numeriai galėjo būti atiduodami tik „baltajame sąraše“ esantiems partneriams.
Šio principo „Telia“ griežtai laikosi klientų numerį parodydama tik mobiliųjų programėlių valdytojams, kuriems tokia identifikacija yra būtina, kad veiktų su konkrečiu abonentu numeriu susijusios paslaugos. Jokiems kitiems puslapiams, kurie neturi įdiegto kenkėjiško kodo, numeris nėra parodomas. Saugumo spraga yra ne mobilių operatorių infrastruktūroje, o partnerių sistemose. Ją sutvarkius, tokios svetainės neturės techninių priemonių susirinkinėti jas lankančių abonentų numerius.
Informacijos apie tai, kad automobilių stovėjimo ar viešojo transporto programėlės jų veikimui reikalingą numerį atvaizduoja ir galutiniam vartotojui, neturėjome ir mūsų partnerių sistemose ši spraga atsirado be mūsų žinios. Tačiau transporto ir automobilių stovėjimo programėlių valdytojams šiuo metu visapusiškai padedame pašalinti rizikas, susijusias su telefono numerio rodymu per mobiliojo telefono interneto naršyklę.
Mūsų žiniomis, šių paslaugų savininkai jau dabar peržiūri visą savo saugumo architektūrą. Esame pasirengę jiems padėti sudiegti visas reikalingas ugniasienes ir kitas asmens duomenų apsaugos priemones.
„Telia“ tinkle turėjome sudiegę papildomus saugiklius ir kol kas stabdyti tokių programėlių kaip „m.Parking“ ar „m.Ticket“ veikimo neplanuojame, nes šių paslaugų saugumas nėra susijęs su duomenų nutekėjimo rizika. Aptikta saugumo spraga leidžia tik nesąžiningų interneto svetainių savininkams gauti telefono numerį, tačiau galimybės pasinaudoti juo piktiems kėslams yra tikrai ribotos.
Rizikos faktorių dėl šios spragos kyla tik tiems vartotojams, kurie linkę į rizikingą elgesį internete – jungiasi prie nepatikimų svetainių, pavyzdžiui, piratinio turinio ir programinės įrangos platintojų, pornografijos ar panašiai. Tokiose svetainėse vartotojai visada rizikuoja savo asmens duomenų saugumu, nes jose ir taip dažnai platinami įvairūs virusiniai kodai.
Geroji saugumo praktika sako, kad vykdant rizikingus veiksmus internete reikėtų pasirūpinti ir papildomomis saugumo priemonėmis – pavyzdžiui, VPN paslaugų naudojimu, neleidžiančių identifikuoti vartotojo.
Ar to tikrai pakanka?
Vis dėlto Lrytas.lt nusprendė patikrinti, ar deklaruojamos apsaugos sistemos yra pakankamai efektyvios ir iš „Telia“ numerio prisijungė prie bandomojo puslapio, kurį savo tinklaraščio įraše nurodo J.Lobačevskis. Reikia pabrėžti, kad tai nėra joks nelegalus, žalingas ar kenksmingas tinklalapis – o puslapis, sukurtas patikrinti pažeidžiamumą.
Apie 13 val. 30 min. svetainė be jokių trukdžių rodė numerį, iš kurio buvo jungiamasi (kai buvo jungiamasi iš „Telia“ tinklui priklausančio numerio). Apie 15 val. 30 min. svetainė, tikrinanti pažeidžiamumą, nebe pateikdavo vienareikšmišką atsakymą, o užstrigdavo rodydama prašymą vartotojui palaukti (angl. please wait).
„Bitė“: numerių neperduodame, tik ID
Kaip teigi „Bitė Lietuva“ kibernetinio ir IT saugumo vadovas Saulius Skirmantas, „Susisiekimo paslaugų“ mobiliosioms aplikacijoms tiesiogiai neperduoda savo klientų asmens duomenų, taip pat ir telefono numerių. „Perduodame tik unikalų vartotojo ID, kuris neleidžia identifikuoti žmogaus“, – teigiama išplatintame pranešime.
Ten pat minima, kad kovo 2 dieną „Bitė“ gavo informaciją, jog naudojant „Susisiekimo paslaugų“ saugumo spragą, yra galimybė susieti šį unikalų ID su anoniminio vartotojo telefono numeriu. Apie tai operatorius informavo „Susisiekimo paslaugas“, kurios ir kuria bei vysto programėles.
„Savo ruožtu, mūsų kibernetinio saugumo ir IT specialistai ėmėsi diegti dar ir papildomus filtrus. Šį pokytį ketiname įgyvendinti nelaukdami programėlių atnaujinimų artimiausiu metu, greičiausiai, šiandien arba rytoj. Svarbu pabrėžti, kad jei vartotojai neatidarinės nuorodų, gautų iš įtartinų šaltinių, jų duomenys išliks saugūs. Šiuo principu reikėtų vadovautis ir visais kitais atvejais internete“, – teigia S.Skirmantas.
Paaiškino ekspertas
Kaip portalui Lrytas.lt sakė IT saugumo ekspertas Mantas Sasnauskas, ši klaida buvo atrasta dar 2017 metais. Jo esmė – visi Lietuvos mobiliojo ryšio operatoriai kaskart jungiantis internetu per mobiliuosius duomenis į užklausą (angl. request header) kaip atpažinimo ženklą įskiepija telefono numerį.
„Buvo manyta, kad taip greičiausiai bus patogiau atpažinti, kas jungiasi prie programėlių (šiuo atveju „m.Parking“, „m.Ticket“ bei „MoQ“). Pats veikimo ir galimas piktavališko išnaudojimo principas buvo paviešintas prieš porą dienų, kaip galimybės įrodymas (angl. proof of concept), – aiškina M.Sasnauskas. – „Tele2“ siuntė tai visose užklausose, „Telia“ bei „Bitė“ – tik „baltuosiuose sąrašuose“ esančioms programėlėms ar svetainėms“.
Saugumo ekspertas teigia, kad prieš maždaug dešimt metų tokia tvarka pasaulyje buvo gana įprasta, bet dauguma operatorių ilgainiui nustojo siųsti telefono numerius kartu su užklausomis. „Kodėl nebuvo spręsta šita spraga, turi atsakyti patys operatoriai“, – apibendrina M.Sasnauskas.
Jo teigimu, išspręsti šią problemą yra labai lengva – tiesiog pakanka išjungti tų „headerių“ siuntimą su telefonų numeriais, kaip tą padarė jau „Tele2“. O aplikacijų kūrėjams reikėtų perdaryti autentifikavimosi funkciją.
M.Sasnauskas pritaria „Tele2“ veiksmams ir pastebi, kad lygiai taip pat pasielgė ir kai kurių užsienio šalių didieji operatoriai, tokiam pačiam įvykiui nutikus apie 2012-2014 metus.
Tad apibendrinant – dėl šios saugumo skylės piktavaliai galėjo sužinoti vartotojo telefono numerį. Kiek tai yra pavojinga?
Anot M.Sasnausko, pagal BDAR principus telefono numeris yra tokie pat asmeniniai duomenys, kaip vardas, adresas ar kreditinės kortelės numeris. „Ar šitas įvykis pažeidė patį BDAR principą, gali atsakyti Valstybinė duomenų apsaugos inspekcija“, – teigia saugumo specialistas. Jis taip pat primena, kad kiekvienas vartotojas gali pasitikrinti savo sutartyse, ar jose numatytas telefono numerio atskleidimas, ar dalinimasis juo operatorių partneriais. „Jeigu nėra, vartotojas gali kreiptis į VDAI su skundu“, – teigia M.Sasnauskas.
Bet jis perspėja, kad vertinant iš techninės pusės, tokia spraga galima pasinaudoti vadinamoms „tarpininko“ (angl. Man in the Middle, MitM) atakomis, kai impersonuojamas telefono numeris ir taip iš aukos telefono sąskaitos užsakoma ar apmokama paslauga. Taip pat įrašę paprastą kodą, piktavaliai gali rinkti kiekvieno svetainėje apsilankančio vartotojo telefono numerį, o po to parduoti abejotino legalumo skambučių centrams, kurie telefoninės rinkodaros būdu bando prekiauti kriptovaliutomis, neaiškių įmonių akcijomis ar gauti pajamus kitomis veklomis, esančiomis pilkojoje zonoje.
