niebezpiecznik

Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.

PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi… Kilka dni temu pewien Czytelnik […]

Kwi 3, 2025 - 11:23
 0
Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.

PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi…

Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient. Tak wyglądała strona do odzyskiwania hasła, którą Czytelnik zobaczył:

Strona odzyskiwania hasła w klient.interrisk.pl

Jak widać, odzyskanie hasła wymaga podania loginu i telefonu, ale…

  1. Rolę loginu może pełnić PESEL.
  2. Można podać dowolny numer telefonu, a zresetowane hasło przyjdzie na ten właśnie numer.

Widzicie już problem? Znając PESEL klienta InterRisk i podając jakikolwiek numer telefonu do którego mamy dostęp otrzymywaliśmy nowe hasło. Przychodziło SMS-em na podany przez nas numer, niezależnie od tego, czy był on wcześniej używany przez danego klienta. Dzięki temu można było się zalogować na konto dowolnego klienta InterRisk.

i zobaczyć taki panel, dający wgląd w wykupione usługi i różne zakresy danych (w zależności od typu ubezpieczenia):

Łatwo można ustalić dane klientów InterRisk (i nie tylko tej firmy)

Dodajmy, że jeśli ktoś chciałby zdobyć numery PESEL klientów konkretnej firmy ubezpieczeniowej (np. InterRisk, ale nie tylko) może spróbować użyć w tym celu choćby powszechnych wyszukiwarek. W trakcie pisania tego tekstu znaleźliśmy w internecie trochę polis takich jak ta poniżej. Została ona opublikowana w pewnym miejscu najprawdopodobniej wskutek czyjegoś braku ostrożności (nie wskażemy gdzie, ale część z uważnych Czytelników na pewno to miejsce zna).

Ale podkreślmy, że wcale nie trzeba szukać polis InterRisk w siecie, żeby “trafić” w prawdziwego klienta tej firmy. PESEL-e wielu osób są publicznie dostępne w różnych rejestrach, można więc próbować “po kolei” i prędzej czy później trafi się kogoś, kto ma polisę akurat w tej firmie.

Co na to InterRisk

Zgłosiliśmy problem firmie InterRisk w piątek 28 marca. Dorota Kaźmierska z departamentu marketingu i PR potwierdziła, że zgłoszenie dotarło i odpowiednie osoby zajmą się sprawą. Potem firma wyłączyła dostęp do formularza odzyskiwania hasła. A w środę otrzymaliśmy następujące oświadczenie:

(…) pragniemy poinformować, że aplikacja iKlient była w fazie wygaszania. Obecnie jest już niedostępna i zostanie zastąpiona nowym narzędziem. Dziękujemy za Pańskie zgłoszenie które traktujemy jako profesjonalną recenzję stosowanych przez nas rozwiązań. Zapewniamy że najwyższy poziom bezpieczeństwa jest naszym priorytetem. Dokładamy wszelkich starań aby nasze rozwiązania w pełni odpowiadały na potrzeby i oczekiwania naszych Klientów.

Niestety, w oświadczeniu nie znaleźliśmy informacji o które pytaliśmy:

  • Od jak dawna mechanizm logowania na klient.interrisk.pl pozwala na zmianę hasła w taki sposób?
  • Czy ta sytuacja zostanie potraktowana jako incyent w ochronie danych i zgłoszona do UODO?

Ciężko więc oszacować, czy ktoś nadużył ten mechanizm i na jaką skalę. Wierzymy jednak, że firma wykonała odpowiednie analizy w tym zakresie i w zależności od ich wyniku, podjęła dodatkowe kroki zmierzające choćby do poinformowania klientów, których dane w ten sposób zostały pozyskane. Tu wspomnimy też o radzie, którą powtarzamy na naszych szkoleniach dla programistów z Atakowania i Ochrony Webaplikacji:

po tak ważnym działaniu w kontekście konta użytkownika jak zmiana danych kontaktowych (np. numeru telefonu) lub hasła, warto wysłać o tym fakcie informacje na poprzednie dane kontaktowe. Jeśli zmiana była nieautoryzowana, jest szansa, że właściciel konta otrzyma jasny sygnał, że coś jest nie tak i szybka reakcja pokrzyżuje plany atakującym.

Nie używaj PESEL-u jako sekretu!

Na pierwszy rzut oka w opisanej sytuacji głównym problemem jest przesyłanie hasła na dowolnie wskazany numer. Ale inicjowanie tego procesu jest możliwe tylko po uprzednim podaniu PESEL-u klienta. Tak więc zasadniczym problemem jest przyjęcie założenia, że PESEL może być traktowany jako sekret w procesie uwierzytelniania.

Od lat w różnych kontekstach piszemy o tym, że korzystanie z PESELu jako niewiadomej to błąd (por. Dlaczego PESEL to złe hasło do zipa, czyli jak nie udostępniać wyników badań na COVID-19 (ani żadnych innych) oraz Odbierałeś swoje badania lekarskie przez internet? Mamy nadzieję, że nie w taki sposób). Jeszcze w czasach przed-rodowych ówczesny urząd ochrony danych (GIODO) wydawał decyzje mówiące o tym, że PESEL nie może być loginem i hasłem. Istniejący obecnie Urząd Ochrony Danych Osobowych powtórzył tę uwagę w swoim newsletterze do Inspektorów Ochrony Danych z listopada 2021 r.

Jestem klientem InterRisk — co robić, jak żyć?

Po pierwsze, jeśli jesteście klientem InterRisku, sprawdźcie, czy możecie się zalogować na swoje konto swoim hasłem. Jeśli nie, jest szansa, że ktoś je Wam zmienił właśnie w taki sposób, jak wskazany w naszym artykule. I wtedy należy zacząć się martwić. Powinniście założyć, że wszystkie Wasze dane, które przekazaliście InterRisk są też znane komuś jeszcze. W zależności od ich skali i istotności, należy podjąć działania osłonowe, aby utrudnić komuś posłużenie się Waszą tożsamością w celu wyłudzeń lub dalszych sprofilowanych ataków na Was i Waszych najbliższych. Jednym z najważniejszych będzie zastrzeżenie PESEL-u, które może utrudnić różne wyłudzenia.

O tym co należy zrobić kiedy nasze dane wyciekły, jak sprawdzić co wyciekło i gdzie po internecie lata, oraz z jakich usług warto skorzystać, aby ten wyciek ograniczyć w szczegółach mówimy w tym wideo-poradniku. Warto go zobaczyć, nawet jeśli jeszcze nie jesteście ofiarą żadnego wycieku, bo zawiera on wiele porad, które — jeśli zostaną wdrożone — mogą istotnie obniżyć ryzyko przyszłych wycieków danych, które Was spotkają. Do końca dnia, z kodem “PESEL-TO-NIE-SEKRET” możecie uzyskać dostęp do tego materiału z 50% zniżką — bez obaw, macie 30 dni, żeby się zapoznać z tym materiałem, więc na pewno zdążycie.

A ten tekst zakończymy apelem. Gdziekolwiek macie konto, sprawdźcie jak wygląda ścieżka resetowania hasła do Waszego konta. I jeśli namierzycie podobne słabości (wykorzystanie PESEL-u albo innej znanej publicznie danej jako sekretu pozwalającego na przejęcie konta) — dajcie nam znać. Z chęcią wytłumaczymy dostawcom, dlaczego powinni “wygasić” taki system.

Czytaj Więcej

Tagi:

Poprzedni Artykuł

Wiosenna ofensywa Xboksa. Będzie w co grać!

Następny Artykuł

Minister klimatu chce dalszych obniżek cen energii. „Rachunki dla gospodarki już...

Powiązane Posty

Lepiej sprawdź, czy ktoś nie kupił samochodu na Twoje dane…

Lepiej sprawdź, czy ktoś nie kupił samochodu na Twoje d...

Mar 4, 2025  0

Nawet najlepsze szyfrowanie nie zabezpieczy Twoich tajemnic jeśli jesteś debilem

Nawet najlepsze szyfrowanie nie zabezpieczy Twoich taje...

Mar 31, 2025  0

Wyciek danych klientów Empiku

Wyciek danych klientów Empiku

Mar 22, 2025  0