Sygnalista branży IT...

...i nie tylko.

Niekomercyjny blog osobisty należący do dobrze poinformowanej osoby fizycznej.
Autor nie wyraża zgody na deanonimizację.


Kontakt

Serwery Orange Polska w pewnych przypadkach przesyłają publicznymi łączami niezaszyfrowane dane osobowe abonentów (wystarczy jeden bitflip). A gdy transmisja jest zaszyfrowana, to jej deszyfracja przez osoby postronne jest trywialnie łatwa — AMBERFLOW

Tuesday, December 7, 2021 | Link

W trosce o dobro abonentów, tajemnicę telekomunikacyjną i bezpieczeństwo danych osobowych, Sygnalista IT informuje, że podczas zwykłych czynności administratorsko-sieciowych związanych z wdrożeniem nowego serwera wirtualnego, całkowicie przypadkowo natrafiono na niezabezpieczony kryptograficznie ruch sieciowy pochodzący z serwerów Orange, przesyłany pomiędzy serwerami publicznymi łączami internetowymi, zawierający bardzo szczegółowe dane osobowe.

Sygnalista IT z przykrością informuje, że wobec braku szyfrowania, dostęp osób postronnych do tak przesyłanych danych nie wymaga nadzwyczajnych umiejętności i jest trywialnie prosty — dane osobowe są bowiem widoczne jak na dłoni po użyciu odpowiedniego narzędzia na odpowiednim urządzeniu sieciowym.

Ustalono nadto, że co najmniej jedna osoba spoza grupy Orange jest w posiadaniu pliku pcap (tcpdump) zawierającego niezaszyfrowane powiązane ze sobą dane osobowe. Nie wiadomo jeszcze, jakie będą dalsze losy tej próbki ruchu.

Brak szyfrowania pojawia się w specyficznych przypadkach, jednak nawet gdy przedmiotowa transmisja danych osobowych z serwerów Orange jest zaszyfrowana, to i tak (na domiar złego) połączenie jest podatne na trywialnie prosty atak MITM i uzyskanie danych osobowych w postaci niezaszyfrowanej.

Sprawa wydaje się o tyle poważna, że przesyłane tą drogą, a więc i potencjalnie narażone są powiązane ze sobą dane osobowe abonentów takie, jak:

Aby nie pomagać przestępcom, nie podano szczegółów do wiadomości publicznej, albowiem nazbyt szczegółowe informacje mogłyby posłużyć do naruszenia tajemnicy telekomunikacyjnej i naruszenia ochrony danych osobowych.

Sygnalista IT nie ma wiedzy, czy analogiczne zjawisko ma miejsce w sieciach pozostałych operatorów — zjawisko zauważono bowiem przypadkowo, zaś Sygnalista IT jest blogiem niekomercyjnym i nie zajmuje się audytowaniem ani prowadzeniem testów penetracyjnych cudzych systemów informatycznych.

Wiadomo jednak, że opisywanego zjawiska można uniknąć wprowadzając co najwyżej drobną zmianę w oprogramowaniu stosowanym przez Orange Polska.

Zjawisko to jest znane od dawna pod różnymi nazwami, z których jedna to dźwięcznie brzmiąca AMBERFLOW.

O zaobserwowanym zjawisku poinformowano już Orange.


Wszystkie wpisy