Krmení
Bezpečnostní díra OK Plus ČSA čeká na svého hackera
od aichi 
České aerolinie provozují svůj věrnostní systém OK Plus. Do tohoto programu se může registrovat každý a pokud létá se Sky Team aerolinkami, sbírá na svoje konto míle. V registračním formuláři je nutné zadat heslo - PIN. Prvním antiopatřením je, že je předepsaná délka 5 - 10 znaků.
...
Po registraci se neděje nic, dokud alespoň jednou nepoletíte, pak vám přijde plastiková karta s průvodním dopisem, který je vidět níže (obrázek je odkazem).
Ano, ano. Mezi uvozovkami ve spodní části dopisu je vytištěn můj PIN. ČSA tedy uchovávají hesla klientů v plain textu, krásná pozvánka pro hackery.
A jak se k tomu staví ČSA?
ČSA jsem kontaktoval mailem 29.12.2009:
Dobry den, pred vice nez rokem jsem se registroval do OK Plus systemu. Pred nedavnem jsem si nechal nacist prvni mile a v souvislosti s tim mi prisla i plastikova karta s dopisem. Zde vidim bezpecnostni problem. Pri registraci jsem si zvolil heslo a toto heslo je nyni - po roce - vytisteno na tomto pruvodnim dopise ke karte. Toto vase nakladani s hesly klientu je naprosto neomluvitelne. Jak to, ze ukladate hesla v citelne podobe? Kazdy s pristupem k databazi si je muze precist, nejlepe nejaky hacker a pouzit je. Vetsina uzivatelu pouziva omezeny pocet hesel, nejhorsim pripadem je, ze maji jedno heslo do vsech systemu. Zadam vas timto o napravu, nejlepe tak, abyste hesla klientu, i me, uchovavali v zahashovane podobe (hashovaci funkce md5, sha1 s vyuzitim salt mechanizmu). Tesim se o na odpoved o naprave S pozdravem Michal Aichinger
a jejich odpověď ze dne 30.12.2009:
Vazeny pane Aichingere, > Heslo posíláme pouze v uvítacím dopise, jelikož ne všichni se registruji přes internet a některým se tak heslo generuje teprve při vkládání do systému. Kdybychom je neodeslali, nebude mít přístup ke svému účtu. Nikde jinde se hesla nezobrazují. > Pokud heslo jakkoliv upravíme, ten, komu odesíláme si jej nerozklíčuje.... > > Navíc je v tomto uvítacím dopise uvedena informace, ať si pán heslo co nejdříve po obdržení změní. > > Hesla v systému OK Plus vidět nejsou, nikdo k ním tedy nemá přístup. Zpracování zásilek se děje automaticky. Dopisy jsou odeslány poštou, kde existuje listovní tajemství. > > > Marie Voborska Kontaktni centrum CSA T: +420 239 007 007 T: +420 800 310 310 - Bezplatna linka pro volani z Ceske republiky www.csa.cz www.okplus.cz
Schrnutí je takové, že ČSA nepovažují ukládání hesel v plaintextu za problém, protože k nim níkdo (rozuměj ani administrátor) nemá přístup. Navíc se nehodlají zamyslet nad procesní chybou, kdy je logické, že novým klientům, kteří se registrují klasickou poštou, je heslo vygenerováno, toto heslo vytištěno na papír a do DB uloženo již zahešované. Pro mě je tato zpráva jako pozvánka pro nějakého igigiho, či podobného nabourávače.
29. 12. 09 14.59:44, Adresy zpětných odkazů pro tento příspěvek:
Trackback URL (right click and copy shortcut/link location)
4 komentářů
tihle a podobní idioti se zřejmě nikdy nepoučí. řešení je na uživatelích...
Buďme chvíli teoretici :) V žádném případě neschvaluji takovýto způsob nakládání s citlivými daty, avšak:1/ posílání hesel dopisem v plaintextu nemusí nutně znamenat, i když je to vysoce pravděpodobné, že je v přihlašovací databázi také uloženo plaintextově. Při registraci může být heslo např. přeposláno na nějaké dočasné úložiště s jednosměrnou komunikací;
2/ i kdyby to tak bylo, zkontaktovat "Kontaktní centrum ČSA" nebyl příliš šťastný nápad. Příjemce (nějaká PR zástupkyně) obsahu dopisu nemusí nutně rozumět (její starostí bude řešit dotazy týkající se činnosti ČSA; systém si samo ČSA pravděpodobně neprogramuje a zadalo ho externí firmě; není poté v kompetenci ČSA řešit funkcionalitu a bezpečnost aplikace - však budu prodavač ovoce, budu chtít udělat webové stránky, těžko budu ručit za jeji bezpečnost).
m.: Sice jako prodavač ovoce neručíš za bezpečnost svého webu, ale pokud ti přijde takovéto upozornění na chybu, máš ho přeposlat svému dodavateli k vyjádření a vyřešení, ne se snažit o vlastní laickou odpověď. LuKo: no to ano, ale pokud ta otázka třeba pro toho dotyčného člověka vyzní jednoznačně a myslí si, že na to může odpovědět sám, tak se o to pokusí. Můj komentář vede k tomu závěru, že pokud jsme nedostáli patřičné odpovědi, můžeme přeci náš požadavek dále konkretizovat. 
