Z pompą i hukiem ogłoszono nową odsłonę programu lojalnościowego Payback. Program uległ daleko idącym zmianom. Ma nowego właściciela, nowe zasady i nową stronę internetową. Nowości porażają! Niestety, żenująco niskim poziomem! Niektóre z nich powodują, że włosy stają dęba na głowie!

Okazało się, że w nowym programie dostępu do konta broni nie sprawdzone od lat hasło, ale… data urodzenia i kod pocztowy! Matko Boska, co za debil wpadł na tak kretyński pomysł?

Pragniemy przypomnieć, że:

  1. Z punktu widzenia socjotechniki i socjoinformatyki, zdobycie takich danych, jak data urodzenia lub kod pocztowy ofiary nie przedstawia dla atakującego socjotechnika żadnych problemów! Przecież to jedne z najbardziej podstawowych danych. Zdobycie numeru karty Payback również nie przedstawia większego problemu dla doświadczonego cyberprzestępcy. Tym samym nawet dla średnio wprawionego w kradzieży tożsamości konto w nowym programie Payback jego potencjalnej ofiary stoi otworem!
  2. Dane takie, jak kod pocztowy i data urodzenia raczej nie ulegają zmianie (pierwszy rzadko, drugi – nigdy!). Z tego wniosek, że klient nowego programu Payback nie tylko chroni swoje konto łatwymi do zdobycia danymi, ale praktycznie nie ma możliwości ich zmiany (jak w przypadku hasła, które można zmieniać dowolnie) – bo jedyną opcją pozostaje mu podanie fałszywych danych. Co jest – oczywiście! – niezgodne z regulaminem i obowiązującym w Polsce prawem!

Tak piramidalnej, z punktu widzenia bezpieczeństwa komputerowego, głupoty nie da się nawet logicznie skomentować. Brawa dla nowego właściciela programu Payback, za to, że (zapewne za ciężkie pieniądze) zatrudnia specjalistów od bezpieczeństwa, takich, jak z koziej dupy trąba!

Jeśli chodzi ogólnie o kwestię bezpieczeństwa, to wystarczy zadzwonić na infolinię Payback. Po podaniu numeru karty w programie, konsultantka sama podaje dzwoniącemu kod pocztowy i datę urodzenia! Udowodnione na przeprowadzonym eksperymencie! Pani po drugiej stronie kabla telefonicznego nie poprosiła o podanie tych danych przez dzwoniącego  (jak robią praktycznie wszystkie biura obsługi klienta), tylko sama je przedyktowała. Wystarczyło jedynie dwukrotnie potwierdzić je przez lakoniczne „mhm, tak”! Dokładnie tak samo mógłby zrobić ktoś podszywający się pode mnie! Wygląda więc na to, że aby dostać się do konta Payback wystarczy znać tylko numer karty i nic więcej! Resztę danych niezbędnych do zalogowania się podadzą usłużne panie w BOK! Ratunku!

Trochę za dużo tych błędów, jak na z hukiem ogłaszany nowy program lojalnościowy i trochę zbyt ciężkiego kalibru one są. Chcieliśmy poprosić nowego właściciela programu Payback o komentarz do powyższego wpisu. Niestety, próba wysłania e-maila przez formularz kontaktowy zakończyła się błędem. List wrócił jako niedostarczony. Bez komentarza…

Aktualizacja z 27 października 2009 r.

Po czterdziestu dniach od wysłania e-maila, o którym mowa w poprzednim akapicie, okazało się, że mimo, iż serwer pocztowy wygenerował błąd – wiadomość do Payback jednak została dostarczona. Otrzymaliśmy odpowiedź / komentarz do powyższego wpisu:

Dziękujemy za cenne uwagi dotyczące ochrony danych osobowych. Jesteśmy przekonani, iż zaproponowany przez nas model zabezpieczeń jest optymalny ponieważ sprawdził się również w innych krajach. W przypadku wykrycia jakichkolwiek nadużyć rozważymy nowy model zabezpieczeń.

Cóż… tym razem wszelkie ewentualne komentarze pozostawiamy czytającym!