Niebezpiecznik NewsMożna było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.
PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi…
Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient. Tak wyglądała strona do odzyskiwania hasła, którą Czytelnik zobaczył:
Strona odzyskiwania hasła w klient.interrisk.pl
Jak widać, odzyskanie hasła wymaga podania loginu i telefonu, ale…
Rolę loginu może pełnić PESEL.
Można podać dowolny numer telefonu, a zresetowane hasło przyjdzie na ten właśnie numer.
Widzicie już problem? Znając PESEL klienta InterRisk i podając jakikolwiek numer telefonu do którego mamy dostęp otrzymywaliśmy nowe hasło. Przychodziło SMS-em na podany przez nas numer, niezależnie od tego, czy był on wcześniej używany przez danego klienta. Dzięki temu można było się zalogować na konto dowolnego klienta InterRisk.
i zobaczyć taki panel, dający wgląd w wykupione usługi i różne zakresy danych (w zależności od typu ubezpieczenia):
Łatwo można ustalić dane klientów InterRisk (i nie tylko tej firmy)
Dodajmy, że jeśli ktoś chciałby zdobyć numery PESEL klientów konkretnej firmy ubezpieczeniowej (np. InterRisk, ale nie tylko) może spróbować użyć w tym celu choćby powszechnych wyszukiwarek. W trakcie pisania tego tekstu znaleźliśmy w internecie trochę polis takich jak ta poniżej. Została ona opublikowana w pewnym miejscu najprawdopodobniej wskutek [...]
