Sygnalista branży IT...

Serwery Orange Polska w pewnych przypadkach przesyłają publicznymi łączami niezaszyfrowane dane osobowe abonentów (wystarczy jeden bitflip). A gdy transmisja jest zaszyfrowana, to jej deszyfracja przez osoby postronne jest trywialnie łatwa — AMBERFLOW

W trosce o dobro abonentów, tajemnicę telekomunikacyjną i bezpieczeństwo danych osobowych, Sygnalista IT informuje, że podczas zwykłych czynności administratorsko-sieciowych związanych z wdrożeniem nowego serwera wirtualnego, całkowicie przypadkowo natrafiono na niezabezpieczony kryptograficznie ruch sieciowy pochodzący z serwerów Orange, przesyłany pomiędzy serwerami publicznymi łączami internetowymi, zawierający bardzo szczegółowe dane osobowe.

Sygnalista IT z przykrością informuje, że wobec braku szyfrowania, dostęp osób postronnych do tak przesyłanych danych nie wymaga nadzwyczajnych umiejętności i jest trywialnie prosty — dane osobowe są bowiem widoczne jak na dłoni po użyciu odpowiedniego narzędzia na odpowiednim urządzeniu sieciowym.

Ustalono nadto, że co najmniej jedna osoba spoza grupy Orange jest w posiadaniu pliku pcap (tcpdump) zawierającego niezaszyfrowane powiązane ze sobą dane osobowe. Nie wiadomo jeszcze, jakie będą dalsze losy tej próbki ruchu.

Brak szyfrowania pojawia się w specyficznych przypadkach, jednak nawet gdy przedmiotowa transmisja danych osobowych z serwerów Orange jest zaszyfrowana, to i tak (na domiar złego) połączenie jest podatne na trywialnie prosty atak MITM i uzyskanie danych osobowych w postaci niezaszyfrowanej.

Sprawa wydaje się o tyle poważna, że przesyłane tą drogą, a więc i potencjalnie narażone są powiązane ze sobą dane osobowe abonentów takie, jak:

• imię i nazwisko danego abonenta
• adresy zamieszkania i do korespondencji, w tym poprzednie (nieaktualne) adresy zamieszkania sprzed lat
• numery: telefonu i kart SIM
• numer konta klienta Orange
• informacje o usługach telekomunikacyjnych, z których korzystał dany abonent
• wysokość opłat za poszczególne usługi
• wysokość całkowitej kwoty do zapłaty
• numery, daty wystawienia i kwoty poszczególnych faktur
• poszczególne pozycje na fakturach
• informacje o wystawionych wezwaniach do zapłaty
• informacje o zadłużeniu danego abonenta
• informacje o zamiarze przekazania danych do Biura Informacji Gospodarczej
• informacje o zamiarze przekazania do windykacji
• szczegółowe informacje o treści wystawionych abonentowi not obciążeniowych
• wysokość niedopłaty
• prywatny adres e-mail abonenta podany przy zawieraniu umowy

Aby nie pomagać przestępcom, nie podano szczegółów do wiadomości publicznej, albowiem nazbyt szczegółowe informacje mogłyby posłużyć do naruszenia tajemnicy telekomunikacyjnej i naruszenia ochrony danych osobowych.

Sygnalista IT nie ma wiedzy, czy analogiczne zjawisko ma miejsce w sieciach pozostałych operatorów — zjawisko zauważono bowiem przypadkowo, zaś Sygnalista IT jest blogiem niekomercyjnym i nie zajmuje się audytowaniem ani prowadzeniem testów penetracyjnych cudzych systemów informatycznych.

Wiadomo jednak, że opisywanego zjawiska można uniknąć wprowadzając co najwyżej drobną zmianę w oprogramowaniu stosowanym przez Orange Polska.

Zjawisko to jest znane od dawna pod różnymi nazwami, z których jedna to dźwięcznie brzmiąca AMBERFLOW.

O zaobserwowanym zjawisku poinformowano już Orange.