Pierwsza historia sprzed godziny
Przeszedłem właśnie proces zmiany hasła w sieci PLAY. Resztki szczęki wciąż zbieram z podłogi to z takim impetem kopara mi opadła.
Niby nic nadzwyczajnego, chciałem zmienić hasło do firmowego panelu play.pl (zmieniam bo występowało już w parze z e-mail w innym serwisie). Po krótkich poszukiwaniach w panelu nie znalazłem takiej opcji więc przeszedłem do procedury "zapomniałem hasła".
Po chwili na mój e-mail przyszedł link "do zmiany hasła", niestety kieruje on jedynie do okna logowania i tyle. Czyli tą drogą hasła nie zmienimy.
Postanowiłem więc zapytać na czacie. I tu zaczyna się już kosmos!
Zapis rozmowy (dane oczywiście pozmieniane)
Cześć! Porozmawiajmy, jeśli chcesz poznać naszą ofertę
KLIENT: Dzień dobry. W jaki sposób mogę zmienić hasło do panelu?
PLAY: Jesteś Klientem Play czy UPC?
KLIENT: Play
PLAY: W tej sprawie przekieruje Cię do odpowiedniego działu
Został Pan przeniesiony/Została Pani przeniesiona do: Łukasz K..
PLAY: Cześc, chodzi o hasło do panelu administracyjnego?
KLIENT: Do panelu na stronie play.pl
PLAY: Rozumiem, w takim wypadku należy zmienić hasło abonenckie.
Jakiego numeru dotyczy sprawa?
KLIENT: 555 555 555
PLAY: Mogę zmienić hasło po weryfikacji i podaniu następnie kilku danych,
Aby móc udzielić wszelkich informacji potrzebuję kilku danych.
Poproszę twoje imię nazwisko, pełną nazwę spółki, PESEL, serię
i numer dowodu osobistego oraz NIP. Jeśli nie jesteś reprezentantem
spółki to poproszę hasło do konta Play.
KLIENT: Imię Nazwisko, Firma sp. j. NIP: 9999999999, PESEL 77777777777
PLAY: Poproszę jeszcze serię i numer dowodu osobistego
KLIENT: ABC999999
PLAY: Dane poprawne. W celu zmiany hasła poproszę o kilka następnych informacji
W takim razie, będę potrzebował kilka danych:
2. Kwotę ostatniej faktury,
3. Okres zobowiązania na jaki została zawarta umowa.
KLIENT: 0000,00zł / 24mce
PLAY: Dane prawidłowe. Na jakie hasło zmienić?
KLIENT: Mam je tu wkleić?
PLAY: Tak, poproszę i następnie je ustawie
KLIENT: Nie da sie w panelu?
PLAY: Niestety nie.Zmiana hasła wyłącznie jest możliwa
po kontakcie z BOK
KLIENT: Ja rozumiem, że po kontakcie ale ani nie działa Wam resetowania hasła
przy logowaniu gdybym zapomniał ani nie ma możliwości zmiany tak
aby moje hasło pozostało tajne.
Nie macie do tego żadnego formularza?
PLAY: Nie, obecnie operator nie uwzględnia takiej formy zmiany danych
KLIENT: Proszę zmienić na: XXX[.NXxxxxx.SdkxxxxxxxxxxjkDHJel)kxxO2.mNg
PLAY: Hasło zawiera niestety zbyt wiele znaków, dodatkowo mogę wprowadzic
jedynie cyfry lub litery. Znaki specjalne nie są uwzgledniane
KLIENT: To poproszę o zmianę na:
XXXNuXXX3xx4XfgxxxxxxxxxDHxxx
PLAY: XX3XXXXXXX38XXXXXXXX - takie hasło mogę maksymalnie wprowadzić
KLIENT: To poproszę o zmianę na: XX9XxXXxXx99XxxxxXXX
PLAY: Wysłać potwierdzenie zmiany hasła na sms lub mail?
KLIENT: Bardzo proszę.
PLAY: Mailowo na: [email protected]?
KLIENT: Tak
PLAY: Ok. Zmiany zostały przesłane do realizacjiHasło zostanie
prawidłowo zaktualizowane w ciągu około godziny
KLIENT: Dziękuję bardzo i bardzo mocno sugerują porozmawiać z przełożonymi
na temat tej procedury bowiem uwłacza ona dzisiejszym zdobyczom technologii.
Samą formę i bezpieczeństwo takiego sposobu przeprowadzania
tej operacji pozostawiam bez komentarza.
PLAY: Jasne, przekażę informacje. Oczywiście te procedury nie są ode mnie zależne
KLIENT: Domyślam się, że to nie Pana wina a problem nazwałbym ogromnym.
PLAY: Jeżeli to wszystko:
Mam prośbę, po zamknięciu czatu za pomocą krzyżyka będziesz mógł ocenić
moje zaangażowanie. Nie ukrywam, że każda pozytywna opinia jest dla mnie
bardzo ważna i motywująca. Dziękuję za rozmowę, pozdrawiam i życzę miłego dnia.
Ocena dotyczy wyłącznie mojej pracy i naszej rozmowy, nie innych usług i procedur.
Będę wdzięczny za pozytywną opinię.
KLIENT: Wie Pan co, nie wiem co napisać. Dziękuję i życzę miłego wieczoru.
Najlepsze jest to, że te wszystkie dane wpisujemy w okienko LiveChat - czyli firma trzecia!
Druga sytuacja sprzed kilku dni.
Współpracuję z klientem, który każdego dnia wysyła do dużej międzynarodowej firmy ubezpieczeniowej (nazywajmy ją dalej MFU) raporty z listą osób, które zakupiły ubezpieczenia. Wstępnie raporty miały być wysyłane za pośrednictwem FTP na co się nie zgodziłem proponując by wystawili jakieś API. API nie wystawili ale dali sFTP - tak stare, że na początku Debian 11 domyślnymi narzędziami nie chciał z tym gadać bo wywalał błąd o jakiś archaicznych protokołach po stronie serwera - w ogóle nie chciał nawiązać połączenia.
Unable to negotiate with 111.111.111.111 port 22: no matching key exchange method found.
Their offer:
diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
lost connection
Niestety pliki wysyłałem z "hostingu" bez root i możliwości konfiguracji czegokolwiek.
Udało mi się coś przesłać jedynie za pomocą curl z flagą -insecure. Przepychanki o aktualizację trwały kilka tygodni - bo jak to w korpo wszystko musi trwać.
Ostatecznie poddałem się i pozostałem przy tej formie wysyłki.
Wszystko tak sobie działało kilka miesięcy do momentu kiedy z MFU dostałem email w formie polecenia (aby było jasne nie mam z nimi żadnej umowy ani dla nich nie pracuję) by zmienić katalog docelowy, do którego wrzucam raporty.
Nauczony doświadczeniem, że proste rzeczy w firmie MFU trwają długo zapytałem "a kto płaci?".
W odpowiedzi otrzymałem "a ile to będzie kosztowało?".
Ja dalej odpowiedziałem, że "normalnie to temat na 1 góra 2 godz. rob. ale pamiętając ostatnią współpracę to może być dłużej".
W odpowiedzi napisał do mnie Główny Administrator IT: "To zajmuje góra 1-2 minuty w powershell".
Nie chciałem się dalej droczyć więc stwierdziłem, że zobaczę. Może faktycznie za 5 minut temat zamknę i będę mógł wrócić do swoich zadań. Jedyną moją obawę budziło to, że nie będę miał uprawnień do tworzenia katalogów i to chciałem sprawdzić. Zalogowałem się na serwer wpisałem login i hasło i w MidnightCommander ukazał się mym oczom katalog pełen nie moich plików :-) Miałem Odruchowo nacisnąłem "*" -> F5 żeby zobaczyć czy da się je czytać. O dziwo pociągnęło wszystko. Patrzę do jednego pliku a tam pełne dane:
imię, nazwisko, data ur. pełny adres zamieszkania, wartość zamawianej usługi i kwota ubezpieczenia :-) Razem grubo ponad 100 000 takich rekordów. Czyli miałem dostęp do danych wszystkich partnerów firmy MFU, którzy sprzedawali ten typ usług i także mieli zautomatyzowane eksporty.
Napisałem więc do "Głównego Administratora IT", że mają poważny wyciek i co dalej z tym robimy. Chłop nie odpisał.
Po pół godziny do niego zadzwoniłem i mówię: "Panie macie dziurę. Co z tym robimy" on na to "yyyy, eeee ,ja... my mamy dział RODO się tym zajmuje".
Poprosiłem, żeby ten dział się skontaktował.
Do rana jednak nikt się nie odezwał więc wysłałem oficjalny e-mail do "wszystkich świętych" z informacją gdzie wyciek jakie pliki, ile danych itp...
Dopiero popołudniu odezwał się ich JODa a potem zaczął się cały festiwal kłamstw, które miały na celu wykazać, że to nie z ich winy...
Oczywiście ostatecznie musieli zgłosić incydent, powołać komisję wyjaśniającą itp. itd. Zeszło im na to 3 dni i nawet nie przeprosili mojego klienta, że narazili jego dane na to, ze inne firmy je mogły oglądać.
sFTP zabezpieczyli tak, że teraz mam jedynie prawo zapisu - bez możliwości zweryfikowania co wysyłam :-)