info:niebezpiecznik.plUczestniczenie w imprezach sportowych coraz częściej wiąże się z rejestracją online. Czasem aby kupić bilet przez internet trzeba nawet podesłać skan dowodu. Takie właśnie skany podsyłali użytkownicy serwisu internetowego PZPN dla kibiców — laczynaspilka.pl. Niestety, przesyłane obrazy dowodów nie były odpowiednio zabezpieczone i podejrzeć je mógł każdy.
Zaloguj lub Zarejestruj się aby zobaczyć!
PZPN i aktywność użytkowników w “głębokim ukryciu”
W Polsce istnieje coś takiego jak Karta Kibica Reprezentacji. Jest to identyfikator kibica, który może zastępować papierowe bilety na mecze. Zapewnia też zniżki w Sklepie Kibica, udział w programie lojalnościowym i pełni rolę karty płatniczej typu prepaid. Ubieganie się o kartę wymaga założenia konta w serwisieZaloguj lub Zarejestruj się aby zobaczyć!(Laczynaspilka.pl) prowadzonym przez PZPN.
Jeden z naszych Czytelników, będący jednocześnie kibicem, zauważył istotną wadę serwisu PZPN. Aktywność każdego użytkownika można było przeglądać wprowadzając do przeglądarki adres…
Zaloguj lub Zarejestruj się aby zobaczyć!
…gdzie XXXXXX to identyfikator złożony z cyfr. Sprawdzając kolejne iteracje można było zobaczyć konta różnych osób, a na nich:
- informacje o profilu (z danymi osobowymi)
- wpisy danej osoby na forach,
- zadeklarowane uczestnictwo w meczach,
Oto przykładowa strona z aktywnością. Białym polem na górze przykryliśmy imię i nazwisko jednego z kibiców.
Zaloguj lub Zarejestruj się aby zobaczyć!
Niektóre z kont należały do kibiców niepełnoletnich i można było ustalić kto jest ich rodzicem/opiekunem. Nie to jednak było najgorsze…
Dodaj zdjęcie dowodu!
Serwis PZPN proponował dodawanie zdjęć lub skanów dowodu osobistego. W dolnej części poniższego zrzutu widzicie zachętę, by dodać zdjęcie do autoryzacji na stadionie. Poniżej napisano: “skan dowodu osobistego lub zdjęcie“.
Zaloguj lub Zarejestruj się aby zobaczyć!
Problem w tym, że dodane w ten sposób zdjęcie wyświetlało się na stronie aktywności. Oto aktywność jednego z kibiców — użytkowników serwisu laczynaspilka.pl:
Zaloguj lub Zarejestruj się aby zobaczyć!
Początkowo myśleliśmy, że publicznie dostępne zdjęcie dowodu to błąd nieroztropnego użytkownika-kibica, który nie zgrzeszył intelektem i po prostu do swojej publicznej galerii wgrał z jakiegoś powodu skan swojego dowodu (serio,Zaloguj lub Zarejestruj się aby zobaczyć!). Albo, że ktoś się pomylił i zdjęcie dowodu ustawił jako profilowe (wiadomo, nie ma meczyka bez piwka, albo piętnastu).
Do głowy nam nie przyszło, że to może być błąd programistyczny. Bo przecież żaden z twórców serwisu internetowego, nawet jeśli przez ostatnie lata broniłby karne Lewego swoją głową, nie wpadłby na pomysł wyświetlania zdjęcia dowodu na stronach z aktywnością. Tak myśleliśmy. Ale że lubimy weryfikować nawet te najgłupsze tezy, to zarejestrowaliśmy się jako kibic i zamiast zdjęcia dowodu dodaliśmy zdjęcie przedstawiające kadr z filmu Ingmara Bergmana (akurat taki obrazek redaktor miał pod ręką).
Zaloguj lub Zarejestruj się aby zobaczyć!
Następnie w trybie porno Incognito tej samej przeglądarki odwiedziliśmy stronę z aktywnością utworzonego przez nas konta fikcyjnego kibica. To, co miało być zdjęciem dowodu …rzeczywiście pokazywało się każdemu w aktywności (bez konieczności uprzedniego zalogowania). Ups! Ktoś tu strzelił sobie samobója!
Zaloguj lub Zarejestruj się aby zobaczyć!
Takie podejście do ochrony danych powodowało, że motto serwisu z “łączy nas piłka” mogło szybko zmienić się w “łączy nas kredyt”… Nie pozostało nic innego jak powiadomić o sprawie PZPN.
PZPN reaguje
Rzecznik prasowy Związku — Jakub Kwiatkowski — odpowiedział nam szybko.
Dziękujemy za czujność i wskazanie problemu. Faktycznie był problem, ale dziura została już załatana. (…) Nadmienię, że serwis Łączy nas piłka jest utrzymywany i rozwijany przez zewnętrzną firmę, a nie przez zespół bezpośrednio pracujący w PZPN. (…) informujemy, że nigdy w serwisie Łączy nas piłka nie było konieczności zamieszczenia skanu lub zdjęcia dowodu osobistego. Nigdy również do tego nie zachęcaliśmy. Jedynie osoby zakładające profil w serwisie mogą, ale nie muszą, zamieścić swoje zdjęcie.
Jedynymi dokumentami, które trzeba podać w momencie zakładania profilu do kopia paszportu (dotyczy obcokrajowców chcących zakupić bilet, ale do tego zobowiązują nas przepisy ustawy o bezpieczeństwie imprez masowych) oraz zaświadczenie o niepełnosprawności przez osoby poruszające się na wózkach inwalidzkich, które chcą kupić bilety na sektory przeznaczone dla osób niepełnosprawnych.
Brak obowiązku wgrywania zdjęć dowodów tłumaczy, dlaczego nie pod wszystkimi identyfikatorami jakie wyrywkowo sprawdziliśmy znajdowały się wizytówki użytkowników. Niestety, zdjęcia dowodów były na większości identyfikatorów. Dodajmy także, że serwis PZPN dawał możliwość utworzenia profilu niepublicznego, ale nie była to domyślna opcja w ustawieniach konta i zapewne niewiele osób z niej korzystało.
Dane wyciekają nie tylko od kibiców…
Wpadki takie jak powyższa nie są rzadkie. Przytoczmy przykład poznańskiej karty PEKA. Aby ją wyrobić, trzeba było złożyć wniosek, który po złożeniu był dostępny dla każdego, ktoZaloguj lub Zarejestruj się aby zobaczyć!.
Co gorsza, obrazy różnych dokumentów mogą się czasem znaleźć w internecieZaloguj lub Zarejestruj się aby zobaczyć!. Niektórzy ludzie mają naprawdę małą świadomość i chwalą się swoimi dokumentamiZaloguj lub Zarejestruj się aby zobaczyć!.
Jestem kibicem — co robić, jak żyć?
W zasadzie, to nie ma znaczenia, czy jesteś kibicem, czy nie. Ta rada pochodząca z naszego otwartego wykładu “Zaloguj lub Zarejestruj się aby zobaczyć!” jest uniwersalna i dotyczy każdego:
Zaloguj lub Zarejestruj się aby zobaczyć!
Zaloguj lub Zarejestruj się aby zobaczyć!
Przy okazji, miło nam poinformować, że po Krakowie, Warszawie i Poznaniu, oraz poZaloguj lub Zarejestruj się aby zobaczyć!uczestników, nasz wykład “Jak nie dać się zhackować?” odbędzie się także w innych miastach. Będą to:
Zapisy juz ruszyły i liczba wejściówek jest ograniczona, więc zalecamy pośpiech.Zaloguj lub Zarejestruj się aby zobaczyć!.
Wykład dedykowany jest wszystkim którzy korzystają z komputera lub smartfona i internetu, robią zakupy online i używają bankowości elektronicznej. W 3 godziny pokazujemy jak poprawnie zabezpieczyć swoje urządzenia i internetowe konta, chronić swoją prywatność w sieci oraz jak wykrywać i poprawnie reagować na najpopularniejsze w Polsce ataki internetowe. Prelekcja jest pełna humoru i przeplatana widowiskowymi atakami na żywo. Bez problemu zrozumieją osoby nietechniczne (kibice też. Szerszy opis wykładu znajdziecie
Zaloguj lub Zarejestruj się aby zobaczyć!a aktualnie dostępne wejściówki na poszczególne miastaZaloguj lub Zarejestruj się aby zobaczyć!. Do zobaczenia!
Podsumowując, jeśli coś wgrywasz do internetu — załóż najgorsze: że te będą publicznie dostępne. Dla każdego. Na zawsze. Zastanów się więc czy jeśli serwis prosi Cię Twoje dane osobowe, a zwłaszcza o skan dowodu, to nie lepiej jest zażyć trochę ruchu i udać się do fizycznej siedziby firmy i tam okazać (nie przekazać, nie dać zeskanować — okazać!) dowód. Wiele z serwisów, które wymagają weryfikacji tożsamości pozwala na takie działanie. Jednym z przykładów jest Trafficar i część z banków oraz operatorów GSM.
Pamiętaj, że jak wycieknie Ci hasło, to możesz je zmienić. Jak ktoś wykradnie obraz Twojego dowodu, to go zastrzeż. Uchroni Cię to przed “lewymi” kredytami. Pamiętaj tylko, że wyciek skanu dowodu, to także wyciek Twojego numeru PESEL. A jego nie zmienisz. I to jest problem, bo PESEL jest często wykorzystywany jako “element uwierzytelnienia” w różnych firmach. W przypadku opisywanej przez nas niedawno kradzieży pieniędzy z konta w mBanku przez aplikację mobilną, jedną 3 rzeczy jakie trzeba było znać, aby kogoś okraść był właśnie PESEL (poza nazwiskiem panieńskim matki i numerem telefonu) — por.Zaloguj lub Zarejestruj się aby zobaczyć!.
PS. Jazda jazda jazda, Arka Gdynia!
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
