Trywialne hasła, doładowania telefonu i internet przygląda się działaniom Netii

Sprawa, w której kluczowym elementem jest ujawnienie luk w mechanizmie obsługującym witrynę internetową, nadal się toczy (por. Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności). Tymczasem internauci śledzą (i wykopują) kolejną historię - tym razem chodzi o ujawnienie sposobu, w jaki można dostać się na internetowe "konta" klientów Netii. Okazało się, że wielu klientów Netii otrzyamło standardowo bardzo łatwe hasło (np. "1234"). Z tą wiedzą każdy może/mógł wejść do serwisu operatora i tam, "na czyjś rachunek", doładować sobie telefon. Zervis, któremu ktoś "nabił" w ten sposób rachunek na 300 złotych postanowił sprawdzić jak to działa. Udało mu się dostać na konta 10 różnych klientów operatora, następnie opisał sprawę w internecie, a równocześnie poinformował o całej sprawie przedsiębiorstwo telekomunikacyjne. Netia zbiera teraz przeciwko niemu dowody i zamierza "przekazać sprawę odpowiednim organom"...

Zarówno PIN jak i numer klienta widnieją na umowie, do której niewiadomo jak wiele osób ma dostęp. Netia twierdzi, że opisana w internecie historia nie do końca jest prawdziwa. Im dalej w las, tym pojawiają się kolejne, interesujące informacje, ale zaczynając od początku: wątek Netia ułatwia oszustom kradzież pieniędzy!, który założył w serwisie Wykop.pl Zervis nadal działa, jednak nie funkcjonuje już wykopany link (ISP pod wpływem Netii zawiesił działanie strony). Działa za to mirror, gdzie można przeczytać:

Ktoś włamał się na moje konto (o którym nawet nie miałem pojęcia) i doładował sobie telefon, ba, zrobiły to dwie osoby, jedna 2x 100zł, druga 1x 100zł (...)Oczywiście nie jestem bez winy, powinienem zmienić mój numer PIN już dawno, ale zaraz.. jaki numer PIN? Ah ten na umowie o którym dowiedziałem się dopiero gdy kazano mi go zmienić, gdyż oszust użył go do zalogowania się na moim koncie 'netia online' o którym wcześniej nawet nie wiedziałem.. Dobrze więc, powinienem go zmienić, ale przecież po co miałbym to robić, jeśli wcale z niego nie korzystałem? Dochodzi kolejna sprawa, NETIA standardowo ustawia nasz PIN na 1234(sic!)!

Screenshot serwisu netia-online

Screenshot serwisu netia-online. Wedle nagłaśniającego sprawę użytkownika serwisu Wykop właśnie za pomocą tego formularza - wpisując podobny do swojego numer klienta oraz wykorzystując "trywialne hasło" - dostał się na konta innych klientów, gdzie mógł doładować swój telefon. W komunikatach prasowych na stronie Netii nie widzę żadnego komunikatu prasowego w tej sprawie.

W aktualizowanym na bieżąco tekście Dziennika Internautów pt. Netia wie kim jest "haker" pojawiają się kolejne skany dokumentów, z których wynia, że operator przydzielał swoim klientom hasła trywialne (właśnie "1234", ale też np. "1111" - tam też opisano sposób działania konsultantów). Wcześniej Netia zaprzeczała, jakoby ona przydzielała takie hasła dostępu, twierdząc, że "to klient wybiera sobie PIN" (prawdopodobnie problem polega na tym, że konsultanci po prostu wybierają proste hasło, a więc problemem - jak się wydaje - jest praktyka pracowników, nie zaś ustalone odgórnie procedury operatora).

Zresztą jest więcej wątpliwości związanych z działaniem spółki. Jednym z kolejnych jest sposób działania reklamacji. Jak komentuje Dziennik Internautów: "Niestety łatwiej było o kontakt z osobami, których numery zostały zasilone na jego koszt, niż z operatorem" (po tym, gdy ktoś doładuje swój telefon na konto kogoś innego - w profilu widać numer doładowanego telefon i Zervis skontaktował się z osobami, które na jego konto zasiliły swoje telefony na kwotę 300 złotych; próby nawiązania kontaktu z Netią okazały się mało skuteczne).

Przy okazji okazało się, że w serwisie Allegro można uzyskać dane pozwalające na doładowanie telefonu na czyjś koszt. Jedna z osób, której telefon widnieje w profilu Zervisa (a więc, która doładowała sobie na jego koszt telefon), poinformowała go o takim procederze. I faktycznie. Na jednej z zakończonych już aukcji można przeczytać w odniesieniu do doładowań, tyle, że w Orange: "PROMOCJA ZA 90ZŁ OTRZYMASZ 210ZŁ".

Po interwencji Netii dostawca usług internetowych, z którego usług korzystał Zervis, zawiesił działanie strony, na której ujawniono nieprawidłowości (oraz screeny 10 kont, do których dostał się podanym sposobem internauta). Netia - jak wynika z udostęnionych materiałów - zamierza skierowac kroki prawne przeciwko... Zervisowi.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

prawdopodobnie problem

prawdopodobnie problem polega na tym, że konsultanci po prostu wybierają proste hasło

W moim przypadku to właśnie konsultant wybrał PIN, ale wykazał się pomysłowością i nie dostałem 1234.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>