-
1. Data: 2004-01-26 09:11:02
Temat: Płatności kartą po polsku czyli (un)secure connections :)
Od: "Franz " <f...@g...pl>
Stare przysłowie mówiło 'Lepsza kiła niż lot Iła' i odnosiło się to do
latającego złomu jakim dysponował LOT... czasy się zmieniają, może latanie
LOT'em stało się bezpieczniejsze ale kupowanie biletów nie...
http://gospodarka.gazeta.pl/gospodarka/1,33182,18823
98.html
Na przełomie roku transakcje internetowe na stronie LOT-u nie były dobrze
zabezpieczone
Co najmniej przez 10 dni na przełomie grudnia i stycznia płatności kartami
kredytowymi na witrynie internetowej PLL LOT nie były odpowiednio
zabezpieczone. Mogło dojść do wycieku danych osobowych i numerów kart
- Informacje internetowych klientów PLL LOT wysyłane były otwartym tekstem,
każdy po drodze mógł je podsłuchać. Takie niezaszyfrowane dane zostawały
również w logach wszystkich serwerów po drodze od klienta do PLL LOT. Moim
zdaniem należałoby powiadomić wszystkich klientów, którzy dokonywali w tym
czasie transakcji by zablokowali swoje karty kredytowe - mówi Ireneusz
Parafjańczuk z CERT Polska, firmy zajmującej się problematyką bezpieczeństwa
w Internecie.
Feralny dla klientów LOT-u okres trwał od 30 grudnia do 7 stycznia. Jeśli
ktoś wtedy kupował bilet na stronie naszego przewoźnika i płacił kartą,
powinien liczyć się z zagrożeniem utraty pieniędzy. Aby kupić coś w sieci,
wystarczy imię i nazwisko posiadacza karty, jego adres, numer karty oraz data
ważności - a wszystkie te dane na stronie LOT nie były szyfrowane i mogły
trafić w ręce nieuprawnionych osób.
Eksperci ds. bezpieczeństwa w internecie są zgodni: mogło dojść do wycieku
poufnych danych i obecnie nie da się zweryfikować czy do tego doszło.
LOT od kilku miesięcy intensywnie promuje zakupy przez internet kusząc
klientów licznymi promocjami dostępnymi tylko w sieci. Lepsze ceny, dodatkowe
mile w programie Miles and More, możliwość wyboru miejsca na pokładzie
samolotu to część atrakcji jakie czekają na kupujących bilety przez internet.
Nieprawidłowe działanie systemu zbiegło się z kolejną promocją na stronach
LOT: klientów, którzy w feralnym okresie kupowali bilety przez internet mogło
być setki, a może nawet tysiące. LOT informuje jednak, że zagrożenia nie
było, a problemy miały jedynie charakter przejściowy. - Nasze transakcje są
na bieżąco monitorowane, cały czas jest sprawdzana jest transmisja danych
pomiędzy systemem LOTu i eCardu. Aby przechwycić dane, należałoby się włamać
bądź na serwer LOTu lub eCardu, ewentualnie na któryś z routerów przez, które
przebiega połączenie. Nic takiego nie miało miejsca - zapewnia Leszek
Chorzewski, rzecznik PLL LOT. Do wycieku informacji mogło jednak dojść poza
serwerami LOT bowiem firma nie zapewniła szyfrowania przesyłanych do niej
danych osobowych. Wcześniej, podczas rozmowy telefonicznej, rzecznik LOT
zapewniał, że usterka trwała 15 minut, ale specjaliści z ANIXE, firmy
obsługującej system rezerwacji i zakupów biletów dla LOT, błyskawicznie ją
wychwycili i naprawili.
Jednak LOT oraz ANIXE przez wiele dni nie wiedzieli o istnieniu problemu.
Błąd naprawiono dopiero 7 stycznia, po kolejnym zgłoszeniu nieprawidłowości w
funkcjonowaniu systemu do firmy eCard odpowiedzialnej za autoryzację
płatności internetowych.
- Brak szyfrowania wystąpił na serwerach LOT, do których nie mamy dostępu.
Tym samym trudno mi komentować dlaczego problem nie został wykryty wcześniej.
Problem był niezależny od nas, nasz system działał prawidłowo i wszystkie
transakcje trafiały do nas zgodnie z obowiązującymi procedurami
bezpieczeństwa - mówi Piotr Kaczanowski, z-ca Dyrektora Sprzedaży i
Marketingu eCard.
Stefan Jurczyk, dyrektor techniczny home.pl, dużego dostawcy usług
internetowych
W ciągu kilku pierwszych dni stycznia 2004 r. moduł rezerwacji i zakupu
biletów w serwisie internetowym PLL LOT nie był szyfrowany bezpiecznym
protokołem SSL. Z tego powodu nieuprawnione osoby mogły podsłuchiwać dane
przesyłane przez klientów LOT-u. W tym okresie dokonałem kilkunastu symulacji
transakcji, w różnych dniach i o różnych porach. Z pewnością nie był to błąd
chwilowy, bo szyfrowanie nie wystąpiło ani razu.
Wpadka techniczna LOT-u nie jest pierwszym tego typu zdarzeniem w Internecie.
Podobne problemy z bezpieczeństwem miały takie tuzy rynku jak: AOL,
Microsoft, CD Universe a także sami operatorzy kart kredytowych: Visa i
MasterCard. W odróżnieniu od LOT-u, który problem bagatelizuje i próbuje
retuszować sprawę, firmy te przyznały się publicznie do zaistniałego problemu
i poinformowały o tym swoich klientów.
Co to jest SSL?
SSL (Secure Socket Layer) to bezpieczny protokół komunikacyjny używany w
internecie od 1993 r. (po raz pierwszy został wprowadzony do przeglądarki
internetowej Mosaic). To podstawowy mechanizm ochrony przesyłanych danych
przed podsłuchem. Używany jest na stronach WWW banków, sklepów internetowych,
firm oferujących usługi jak i operatorów płatności przy użyciu kart
kredytowych.
--
Franz
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
-
2. Data: 2004-01-26 17:20:28
Temat: Re: Płatności kartą po polsku czyli (un)secure connections :)
Od: Jarosław Lech <j...@k...ODSPAMIACZ.pl>
Użytkownik "Franz " <f...@g...pl> napisał w wiadomości
news:bv2lj6$mti$1@inews.gazeta.pl...
> Stare przysłowie mówiło 'Lepsza kiła niż lot Iła' i odnosiło się to do
> latającego złomu jakim dysponował LOT... czasy się zmieniają, może
latanie
> LOT'em stało się bezpieczniejsze ale kupowanie biletów nie...
Franz, po cholerę puszczasz taki długi cytat bez sprawdzenia, czy
nie zaśmiecasz grupy starociami? Temat jest stary, przedyskutowany, tyle
że inni po prostu poprzestali na linku do artykułu. I to niejednego.
--
Lejak
j...@k...ODSPAMIACZ.pl