Server iDnes.cz dnes přinesl zprávu o dalším bezpečnostním problému českých operátorů. Pachateli stačilo zadat do „Vodafone Samoobsluhy“ nejčastější čtyřčíselné heslo na světě, „1234“, a rázem měl přístup k telefonnímu číslu (resp. SIM kartě), a tím i k přeposílání desetitisícových částek klientů na svůj účet – bez jakékoliv kontroly ze strany operátora.
Postup pachatelů, teplického pětkrát trestaného nezaměstnaného muže a jeho manželky, byl jednoduchý. Zkoušeli se přihlásit do Vodafone Samoobsluhy s různými telefonními čísly a heslem 1234. Podle zahraničního výzkumu na 3,4 milionech hesel mohli mít 10% pravděpodobnost úspěchu, byť vzhledem k tomu, že Vodafone toto heslo nastavuje také jako výchozí PIN na SIM kartu, bych se nedivil úspěšnosti ještě vyšší.
Po úspěšném přihlášení využili možnosti objednat si novou SIM kartu, která je ve Vodafone Samoobsluze pro případ, že vaši stávající kartu ztratíte nebo poškodíte. Následně si tuto kartu nechali poslat do teplických poboček operátora, kde jim ji zaměstnanci ochotně vydali, opět jen po sdělení hesla 1234. Fakt, že se jedná o výchozí heslo, ani to, že si pachatelé vyzvedávali SIM karty stovky kilometrů od svého bydliště, Vodafone neznervóznil.
Vodafone se pochopitelně brání, že dle jejich všeobecných podmínek nese za heslo odpovědnost klient. To je z právního pohledu jednoznačně pravda. Ale upřímně, operátor klientům vnutil službu („Internetovou samoobsluhu“), o kterou neměli zájem, mnohdy ani nevěděli, že ji mají a samotné heslo jim tam – opět dle vyjádření Vodafone – mohl nahrát zaměstnanec na pobočce. Nejspíš přidal poučení, aby si heslo změnili, ale dovedete si představit vaši matku, babičku či jinak technikou nepolíbenou osobu, jak si heslo mění na bezpečné „Ab%biBOg“?
Klienti tak můžou být ještě rádi, že pachatel pouze využil M-Plateb (další služby, o níž většina poškozených nejspíš ani netušila, že ji má) a poslal si peníze na svůj účet v sázkařských kancelářích Tipsport a Chance. Zloděj totiž měl jejich novou SIM kartu, plný přístup k telefonnímu číslu. Kdyby byl jen o trochu internetově schopnější, pokusil by se o přihlášení do internetového bankovnictví, vylákal peníze z jejich známých na služby typu Western Union, případně aspoň použil zahraniční prémiová čísla (ta, jak tam minuta volání stojí stokoruny a jejichž majitelé jsou nezjistitelní). Takhle bylo jeho „řádění“ snadno dohledatelné a ukončené po několika desítkách stížností.
Operátor dnes tvrdí, že se jednalo o staré účty, které měly slabé zabezpečení, že dnes si už heslo 1234 nastavit nelze, že od roku 2012 vyžaduje šestičíselná hesla a „nedovoluje banální kombinace“. Tady se jednak nabízí otázka, proč tedy při této změně zároveň neupozornil klienty, že jejich heslo je slabé a že pokud si ho nezmění, citlivé služby jako výměna SIM karet nebo M-Platby jim zablokuje. Nehledě na to, že mezi poškozenými je i minimálně jeden, který tvrdí, že jeho heslo bylo „123456“.
Tento případ ale jen ukazuje na hlubší problém přímo tragického zabezpečení telefonních čísel, věci, na kterou prostřednictvím „autorizačních SMS“ dodnes spoléhá například drtivá většina bank a dalších služeb. Jen v Česku to není tak dávno, co pracovník T-Mobile ukradl data 1,5 milionu klientů. Růžový operátor se tehdy bránil, že k ničemu nedošlo, neboť „data jsou v zpět v majetku společnosti“. Poté, co jim Úřad pro ochranu osobních údajů vysvětlil koncept tlačítka „Kopírovat“, dostali pokutu 3,6 milionu korun. To je částka, kterou vzhledem k loňskému zisku přes 8 miliard vydělávali zhruba 4 hodiny, při „přepočtu“ na průměrnou mzdu to je podobné, jako by člověk dostal pokutu 160 korun.
Rozhodně se také nejedná o případ omezený na Českou republiku. Před 14 dny se pro změnu americký T-Mobile přiznal, že mu unikly údaje 2 milionů jeho zákazníků, a to včetně hesel. A i za oceánem vyšlo najevo, že v tom mají přinejmenším nepořádek: hesla totiž byla zašifrována (správně zahashována) již roky zastaralou metodou MD5, jejíž prolomení je s dnešním výpočetním výkonem u většiny hesel otázkou několika vteřin. A tak zatímco se na undergroundových fórech nejspíš začínaly prodávat páry uživatelské jméno – heslo, tiskový mluvčí tvrdil, že vzhledem k jejich špičkovému zabezpečení k žádnému úniku nedošlo. (Pro zájemce, na serveru Lidovky.cz dnes hesla k uživatelským účtům ukládáme zhruba miliardkrát složitější metodou Argon2i).
A i s odcizením telefonních čísel mají za velkou louží již zkušenosti, dokonce natolik, že se etabloval termín „SIM Jacking“. V jejich případě bylo alespoň potřeba mít svého „insidera“ v podobě pracovníka telefonické podpory. Ti mají přístup k veškerým uživatelským datům, mohou bez další kontroly posílat nové SIM karty a jejich pozice je spojená s mizerným platem. Protože všechny tyto atributy platí i na české pracovníky na stejných místech, je jen otázkou času, kdy podobným způsobem dojde ke zneužití i v našem prostředí.
Co z toho plyne? Nespoléhejte se na to, že vás v nejhorším „zachrání“ autorizační SMSka. Používejte silná, a hlavně unikátní hesla. Pokud nejste génius schopný zapamatovat si stovky náhodných sousloví, využijte manažeru hesel (např. 1Password či LastPass, ale i funkce „zapamatovat heslo“ v prohlížeči je bezpečnější než většina lidských hlav). I nadále mějte dvoufaktorové ověření všude, kde můžete, jen se porozhlédněte, zda kromě SMS nenabízí i podporu OTP aplikaci (např. Google Authenticator).
A k operátorům a jejím službám přistupujte stejně, jako k veřejným WiFi sítím: počítejte, že cokoliv přes ně bez další ochrany pošlete, můžou ostatní přečíst nebo změnit. Že jsou toho čeští operátoři schopní demonstrovalo O2 loňského 17. listopadu. Tehdy v rámci reklamní kampaně všechna nešifrovaná zahraniční spojení přesměrovávali na svou stránku „Pozor, státní hranice“. To, co zvenku vypadá jako záslužné připomenutí dob minulých, byla zároveň dobrá ukázka schopností sítě sledovat a upravovat obsah. Operátor musel v reálném čase (nikoliv se zpožděním) analyzovat všechna spojení, zjistit, že se jedná o požadavek na zahraniční web, propojit ho s vaším uživatelským účtem (stránka se zobrazovala jen při prvním přeshraničním připojení každého uživatele), následně do tohoto požadavku vstoupit a nahradit požadovaný obsah svým vlastním.
Nedá se předpokládat, že by si O2 takovou schopnost zajišťovalo jen kvůli jednorázové marketingové akci. V kombinaci s výše uvedenými příklady technické kompetence jim takové možnosti dát nechcete. Dobrá zpráva je, že na ochranu před šmírováním i změnou dat vám stačí většinou pouze uhlídat, že na stránku přistupujete přes zabezpečené HTTPS připojení, a ne nešifrovaným HTTP. Moderní prohlížeče vás na to upozorní i nápisem „nezabezpečeno“ v adresním řádku.
S tím, jak se čím dál víc služeb přesouvá na internet, bude zapomenutých služeb s přednastaveným heslem jako Vodafone Samoobsluha z úvodu článku přibývat. A jak nejen Vodafone ukázal, nemůžete čekat, že by operátoři benevolentně vzali náklady za svou nedbalost na sebe.
Aktualizováno 5. září 2018 11:00: Opravili jsme výši pokuty pro T-Mobile přepočítanou na českou průměrnou mzdu. Za upozornění děkujeme Lubošovi Rotovi.
13:00: Upravili jsme druhý odstavec, aby bylo jasnější, že PIN k SIM kartě a do samoobsluhy jsou na sobě nezávislé a jejich případná shoda pramení z uživatelského chování, nikoliv systémů operátora.
