Tokio sprendimo priežastis – neseniai išaiškėjusi ir paviešinta saugumo spraga, leidžianti nustatyti bet kurio vartotojo, prie interneto išteklių besijungiančio telefonu, per mobilųjį internetą (ne per „Wi-Fi“) mobiliojo telefono numerį. Pirmasis šią spragą svetainėje blog.devsecurity.eu paviešino Jaroslavas Lobačevskis.
Beje, „Telia“ ir „Bitė“ nusprendė savo teikiamų paslaugų neblokuoti – šie ryšio operatoriai įvertino spragos „blogumą“, jos šaltinį bei paslaugų blokavimo poveikį visuomenei ir nusprendė įsidiegti papildomų saugumo priemonių bei prisidėti spragą užkemšant ten, kur ji iš tikrųjų yra.
Pasitikrinti, ar Jūsų telefono numeris yra matomas bet kokioms interneto paslaugoms, galite paspaudę šią nuorodą. Nuoroda veiks jei ją aktyvuosite telefonu, kuris nėra prijungtas prie „Wi-Fi“ tinklo ir jame nėra įjungtas VPN paslaugų naudojimas.
Nukentėti galima keliais būdais
Jeigu iš pirmo žvilgsnio gali pasirodyti, kad tai yra jokios grėsmės nekelianti bėda – juk mes patys telefono numerį daliname į kairę ir į dešinę, nes tai yra patogiausias būdas susisiekti su mumis – yra ne vienas būdas, kaip dėl tokios spragos galime nukentėti mes patys arba visuomeninio transporto bei parkavimo paslaugų teikėjai. Ir, be jokios abejonės, nukentėtume, jeigu viešai žinoma spraga ilgesnį laiką būtų atvira ir visiems prieinama.
Kibernetinio saugumo ekspertas Darius Šveikauskas nurodė, kad pirmas ir paprasčiausias sprendimas išnaudoti laisvai prieinamus telefono numerius – pradėti skambinėti žmonėms, apsilankantiems interneto parduotuvėse, konkrečiuose puslapiuose.
„Informaciją apie vartotojo mobilųjį telefoną galima primityviai išnaudoti tikslinei reklamai pateikti. Jei svetainė prekiauja kokiais nors produktais ir joje bus naudojamas mechanizmas identifikuoti, kokiomis prekėmis ar paslaugomis domėjosi vartotojas, kurio telefoną galima identifikuoti iš užklausų, galima vykdyti tikslinės reklamos kampaniją, tarkim, SMS ar skambutis su pasiūlymu pirkti jį dominusią prekę pigiau. Aišku, tokia rinkodara greitai sulauktų dėmesio dėl BDAR pažeidimų“, – nurodė D.Šveikauskas.
Kur kas pavojingesnis, potencialiai gerokai stipriau per piniginę kirsti galintis šios spragos atveriamas kelias yra susijęs su vadinamaisiais phishingo metodais: numerio atpažinimo įrankius įdiegus į neteisėtas, pavyzdžiui, piratinį turinį platinančias svetaines arba į pornografijos svetaines, šių svetainių valdytojai galėtų susisiekti su žmogumi, kuris ką tik lankėsi jų svetainėje, ir pareikalauti susimokėti „už tylą“ – kad nepraneštų policijai ar darbdaviams apie piratavimą arba artimiesiems apie pikantiškus pornografinius pomėgius.
„Žmogus įvedamas į šoko būseną, blaiviai nustoja galvoti ir tada pokalbis jau krypsta link aukos „monetizavimo“, panašiai kaip su SMS žinutėmis „Mama, patekau į avariją...“, – aiškino D.Šveikauskas.
Ekspertas nurodė ir techniškai sudėtingesnį telefono numerio nustatymo išnaudojimo būdą. Anot D.Šveikausko, yra žinomas praėjusiais metais identifikuotas „Android“ įrenginių pažeidžiamumas, kurį išmanant galima į šią sistemą naudojančius įrenginius nusiųsti specialiai suformuotą SMS žinutę, leidžiančią perimti telefono kontrolę, perimti duomenis ir t.t.„Tokios prieigos dėka ne tik galima išsitraukti telefone esančią privačią informaciją, fotografijas, video bylas, bet ir pasinaudoti šiuo telefonu kitoms atakoms, nukreiptoms į elektroninę bankininkystę, Google ir kitų panašių servisų paskyrų užvaldymą ypač tuo atveju, jei telefonas yra naudojamas antro faktoriaus autentifikavimo procedūroms“, – teigė D.Šveikauskas, pridūręs, kad tokių atakų sėkmę padidina Lietuvoje aptiktos spragos ypatumai – lengvai sužinoti galima ne tik prie interneto išteklių besijungiančio telefono numerį, bet ir telefone naudojamą operacinę sistemą, jos versijos numerį ir net konkretų telefono modelį.
Kaltasis – ne ryšio operatorius?
Nors pagal turimus duomenis galima numanyti, kad ir iki „Tele2“ paskelbto paslaugų apribojimo ši spraga buvo būdinga visiems Lietuvos ryšio operatoriams, panašu, kad tikrasis spragos šaltinis iš tiesų yra ne tik ryšio operatoriai, bet jų partneriai – „Susisiekimo paslaugos“, valdančios programėlę „m.Parking“ ir sukūrusios programėlę „m.Ticket“.
„Telia“ atstovas spaudai Audrius Stasiulaitis tvirtina, kad vadinamąją „HTTP Header Enrichment“ (HTTP HE) technologiją, gebančią perduoti daugiau informacijos apie besikreipiantįjį telefoną, ne tik jų įmonė, bet ir šimtai kitų mobiliojo ryšio operatorių taiko jau ilgą laiką, o kartu su Bendrojo duomenų apsaugos reglamento įsigaliojimu jos taikymas ir perduodamų duomenų kiekis buvo apribotas. Tačiau J.Lobačevskio aprašyta techninė šios technologijos spraga atsirado vėliau partnerių sistemose ir be ryšio operatorių žinios.
J.Lobačevskis nurodo, kad vartotojo identifikacinį numerį (pagal kurį nei asmens, nei telefono numerio tretiesiems asmenims nustatyti neįmanoma) pasiuntus į svetainę transportas.lt, šioji grąžina telefono numerį ir kitus papildomus duomenis. Būtent tai ir yra didžioji problema – kad svetainė transportas.lt pateikia atsakymą, parodantį vartotojo telefono numerį. Veikiausiai šios problemos priežastis yra ne kas kita, kaip bandymas pasiūlyti vartotojui daugiau patogumo: viešojo transporto bilietus registruojanti programėlė juos priskiria konkrečiam telefono numeriui, o jeigu telefone yra iškart dvi SIM kortelės su dviem SIM numeriais, vartotojas galėtų pats nurodyti, su kuria kortele tie bilietai yra susieti. Kad tai būtų įmanoma, paslaugų teikėjas jam turi parodyti, kokį numerį ketina naudoti bilietų registravimui.
„Bitė Lietuva“ kibernetinio ir IT saugumo vadovas Saulius Skirmantas taip pat nurodė, jog saugumo spraga – ne jų pusėje, o „Susisiekimo paslaugose“. „Kovo 2 dieną, pirmadienį, gavome informacijos, jog naudojant „Susisiekimo paslaugų“ saugumo spragą yra galimybė susieti šį unikalų ID su anoniminio vartotojo telefono numeriu. Apie tai informavome „Susisiekimo paslaugas“, kurios ir kuria bei vysto šias programėles. Savo ruožtu, mūsų kibernetinio saugumo ir IT specialistai ėmėsi diegti dar ir papildomus filtrus. Šį pokytį ketiname įgyvendinti nelaukdami programėlių atnaujinimų artimiausiu metu, greičiausiai, šiandien arba rytoj. Svarbu pabrėžti, kad jei vartotojai neatidarinės nuorodų, gautų iš neaiškių šaltinių, visi jų duomenys išliks saugūs. Šiuo atsargumo principu internete pravartu vadovautis ir ateityje“, – 15min rašė S.Skirmantas.
„Telia“ taip pat žada „Susisiekimo paslaugoms“ visokeriopą pagalbą, tačiau iš savo pusės vartotojo atpažinimo per HTTP HE technologiją neblokuos.
„Šią situaciją žinome ir kuo operatyviau sprendžiame, glaudžiai bendradarbiaudami su visais mobiliojo ryšio operatoriais. Kai tik gavome informaciją apie HTTP HE technologijos saugumo spragą, nedelsiant įvertinome pagrindines rizikas, apie situaciją informavome m.Transportas informacinės sistemos, kuriai priklauso ir „m.Ticket“ bei „m.Parking“ programėlės, priežiūros tiekėją. Iš savo pusės sudėliojome pirminį veiksmų planą ir iš karto pradėjome pasiruošimo darbus techniniams pakeitimams.
Esminiai pirminiai pakeitimai ir pirmieji programėlių „m.Ticket“ ir „m.Parking“ rezultatai testavimui iš mūsų pusės bus paruošti jau šiandien. Taip pat ir pagal operatorių paruoštus planus pritaikysime savo sistemas atsižvelgdami į numatytus pakeitimus“, – 15min rašė savivaldybės įmonės „Susisiekimo paslaugos“ komunikacijos vadovė Miglė Bielinytė.
„Operatoriai šiuo metu šalina nesklandumus, kurie konkrečiai susiję su HTTP HE technologija, o „Susisiekimo paslaugos“ dirba su prieigų jungiantis prie programėlių „m.Ticket“, „m.Parking“ duomenimis, saugumo mechanizmais naudotojams siunčiant užklausas dėl automobilių stovėjimo, viešojo transporto bilietų apmokėjimo. Norime patikslinti, kad visiškas problemos pašalinimas įvyks, kai tiek operatoriai, tiek įmonė „Susisiekimo paslaugos“ pašalins pastebėtas spragas“, – vėliau pridūrė savivaldybės įmonės atstovė spaudai.
Atnaujinta 14.18 val. Nutekėti galėjo ne tik telefono numeris, bet ir mokėjimo kortelės duomenys
Jau po straipsnio publikavimo su 15min susisiekė anonimiškumą išsaugoti norėjęs kibernetinio saugumo ekspertas, nurodęs, jog dėl šios saugumo spragos neautorizuoti tretieji asmenys gali išgauti ne tik mobiliojo telefono numerį, bet ir kur kas jautresnę su tuo numeriu susietos mokėjimo kortelės informaciją: kortelės numerį (6 skaičiai paslėpti), kortelės galiojimo datą, el. pašto adresą, asmens vardą, pavardę ir adresą.
Logika buvo paprasta: jei gauni vartotojo prisijungimo numerį, tą numerį gali panaudoti su „Susisiekimo paslaugų“ serveriu, kuris grąžins su tuo numeriu susietas visas mokėjimo korteles. Be to, „šifruotą“ numerį kurį siųsdavo „Tele2“, galima buvo lengvai atspėti pridėjus arba atėmus vienetą nuo siunčiamo skaičiaus.
Atnaujinta 16:13 val. Problema pašalinta, bet ne „Tele2“ pusėje
„Bitės“ IT ir kibernetinio saugumo vadovas S.Skirmantas informavo, jog šio operatoriaus kibernetinio saugumo ir IT specialistai sėkmingai įdiegė papildomus filtrus, tad jokios informacijos iš „Susisiekimo paslaugų“ programėlių perimti nėra galimybės.
Savo ruožtu tuo pačiu metu „Susisiekimo paslaugos“ taip pat informavo, kad reikiami saugumą užtikrinantys pakeitimai atlikti ir paslaugos jau prieinamos visų lietuviškų ryšio operatorių klientams: „Susisiekimo paslaugos“ įgyvendino skubius pakeitimus, programėlių „m.Ticket“, „m.Parking“ versijos buvo paruoštos testavimui ir patikrintos, reikalingus veiksmus atliko ir toliau atlieka operatoriai. Patys imamės ir papildomų veiksmų sistemos saugumui stiprinti“.
„Maksimaliai tikriname visas sistemas ir jų saugumo mechanizmus. Kol vyksta tikrinimai „m.Ticket“ programėlėje laikinai blokuojame atsiskaitymo kortelėmis galimybę. Ją taikysime iki tol, kol nebūsime visiškai tikri, kad visi asmens duomenys yra visiškai saugūs“, – informavo savivaldybės įmonės komunikacijos vadovė.
Vėliau M.Bielinytė patikslino, kad „m.Ticket“ ir „m.Parking“ paslaugomis gali naudotis tik dalis mobiliojo ryšio naudotojų. „Tele2“ pusėje dar fiksuojami laikini sutrikimai. Informaciją atnaujinsime, kai tik jie bus pašalinti“, – sakė ji.
