Naciśnij ESC aby zamknąć

O2 i WP oraz SSL… Czy Twoje hasło jest bezpieczne?

logo_wp.pnglogo_o2.png
Zainspirowani mailem od czytelnika dotyczącym procedury zmiany hasła do kont w portalu o2.pl sprawdziliśmy pozostałych dużych operatorów kont pocztowych i ku naszemu zaskoczeniu niedopatrzenie o2 o którym nas poinformowano nie było odosobnionym przypadkiem.

WP chwali się największą ilością konto pocztowych w Polsce ale naszym skromnym zdaniem zabezpieczenia owych kont są niestety niewystarczające, będąc najpewniej wynikiem niedopatrzenia niż celowego działania. Chodzi oczywiście o zastosowanie (lub jego brak) protokołu SSL do autoryzacji użytkowników.

Podczas logowania do kont zarówno w O2 jak i WP, nazwa użytkownika I hasło są przesyłane w postaci zaszyfrowanej – dokładnie tak jak powinno się to odbywać, jednak podczas zmiany hasła (gdy użytkownik jest już zalogowany) transakcja odbywa się bez użycia protokołu SSL co oznacza przesłanie starego i nowego hasła w postaci jawnej. Większość użytkowników jest zupełnie nieświadoma problemu lub wręcz przekonana, że transakcja zmiany hasła jest bezpieczna – niestety tak nie jest.

Scenariusze ataku są bardzo proste – niezabezpieczona sieć bezprzewodowa, dowolna sieć korzystająca z popularnych “routerów” (na przykład tych używanych do Neostrady), itp. Wszędzie tam gdzie można podsłuchać transmisję, hasło będzie czytelne dla każdego – wystarczy tylko słuchać. W takiej sytuacji przejęcie konta innej osoby jest trywialnie proste (portale same podają hasła do kont na srebrnej tacy) a sam użytkownik jest całkowicie bezbronny i nie będzie w stanie stwierdzić faktu przejęcia hasła przez osobę trzecią, niezależnie od tego jak dobrze zabezpieczony może mieć swój własny komputer.

Nie sądzimy aby przedstawiony powyżej problem był celowym działaniem portali – jest to raczej niedopatrzenie podczas konfiguracji ich systemów; niedopatrzenie, które może mieć ogromne konsekwencje dla wielu użytkowników. Całe szczęście naprawienia tego błędu nie powinno być wielkim problemem.

Zastanawiający jest jedynie fakt, jakim cudem tak trywialny błąd miał prawo zaistnieć w tak dużych portalach? Czyżby operatorzy nie sprawdzali swoich własnych systemów i cały swój sukces budowali w oparciu o pozytywne opinie użytkowników? Drodzy operatorzy – te czasy już dawno minęły… czas nieco lepiej pilnować Swoich systemów a co najważniejsze procesów które w nich zachodzą.

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.