
Zainspirowani mailem od czytelnika dotyczącym procedury zmiany hasła do kont w portalu o2.pl sprawdziliśmy pozostałych dużych operatorów kont pocztowych i ku naszemu zaskoczeniu niedopatrzenie o2 o którym nas poinformowano nie było odosobnionym przypadkiem.
WP chwali się największą ilością konto pocztowych w Polsce ale naszym skromnym zdaniem zabezpieczenia owych kont są niestety niewystarczające, będąc najpewniej wynikiem niedopatrzenia niż celowego działania. Chodzi oczywiście o zastosowanie (lub jego brak) protokołu SSL do autoryzacji użytkowników.
Podczas logowania do kont zarówno w O2 jak i WP, nazwa użytkownika I hasło są przesyłane w postaci zaszyfrowanej – dokładnie tak jak powinno się to odbywać, jednak podczas zmiany hasła (gdy użytkownik jest już zalogowany) transakcja odbywa się bez użycia protokołu SSL co oznacza przesłanie starego i nowego hasła w postaci jawnej. Większość użytkowników jest zupełnie nieświadoma problemu lub wręcz przekonana, że transakcja zmiany hasła jest bezpieczna – niestety tak nie jest.

Scenariusze ataku są bardzo proste – niezabezpieczona sieć bezprzewodowa, dowolna sieć korzystająca z popularnych “routerów” (na przykład tych używanych do Neostrady), itp. Wszędzie tam gdzie można podsłuchać transmisję, hasło będzie czytelne dla każdego – wystarczy tylko słuchać. W takiej sytuacji przejęcie konta innej osoby jest trywialnie proste (portale same podają hasła do kont na srebrnej tacy) a sam użytkownik jest całkowicie bezbronny i nie będzie w stanie stwierdzić faktu przejęcia hasła przez osobę trzecią, niezależnie od tego jak dobrze zabezpieczony może mieć swój własny komputer.
Nie sądzimy aby przedstawiony powyżej problem był celowym działaniem portali – jest to raczej niedopatrzenie podczas konfiguracji ich systemów; niedopatrzenie, które może mieć ogromne konsekwencje dla wielu użytkowników. Całe szczęście naprawienia tego błędu nie powinno być wielkim problemem.
Zastanawiający jest jedynie fakt, jakim cudem tak trywialny błąd miał prawo zaistnieć w tak dużych portalach? Czyżby operatorzy nie sprawdzali swoich własnych systemów i cały swój sukces budowali w oparciu o pozytywne opinie użytkowników? Drodzy operatorzy – te czasy już dawno minęły… czas nieco lepiej pilnować Swoich systemów a co najważniejsze procesów które w nich zachodzą.