Wyciek haseł z EasyCALL. Część klientów zgłasza wyzerowane konta

  • Dział: VOIP

Otrzymujemy sygnały, że wielu klientów operatora VoIP zostało okradzionych. Ktoś wydzwonił ich salda na zagraniczne numery. EasyCall wie o problemie, ale nie informuje swoich klientów o tym co dokładnie się stało. Mało tego, firma wymusiła reset haseł klientów, co sprawiło, że telefony niektórych zostały wylogowane z sieci i nie da się do nich dodzwonić…

Jak pisze jeden z naszych czytelników:

"Dziś otrzymałem informację od klienta że nie można się do mnie dodzwonić. Zalogowałem się do panelu abonenta i okazało się że 12/09/2016 operator zmienił mi hasło SIP (nie podano przyczyny zmiany hasła SIP), po zajrzeniu w bilingi okazało się że całe konto jest wyzerowane rozmowami na komórkę w Algierii. Reklamację złożyłem, czekam na odpowiedź – ciekawe czy tylko mnie to spotkało czy easycall miał włam i wyzerowano więcej kont."

Niestety, wszystko wskazuje na to, że obawy naszego czytelnika co do wyzerowania kont innych abonentów są uzasadnione. Bo jak piszę kolejny z czytelników:

"Wyciekły hasła do VOIP bramka Easycall.pl w piątek ktoś z mojego konta dzwonił na numer +261 200 210 174 wydzwonił 7,05zł w systemie jest baza abonencka wraz z numerem pesel i nr dowodu osobistego dzisiaj logując się na koncie można ujrzeć taki komunikat:

“Informujemy, iż w dniu 12.09.2016 hasła dostępowe do konta SIP (parametr SIP Hasło) uległy zmianie. Prosimy o wprowadzenie zmian w konfiguracjach urządzeń końcowych lub aplikacjach za pośrednictwem, których korzystają Państwo z usługi. Przepraszamy za niedogodności.”

EasyCALL, jak widać wymusił reset haseł, ale w komunikacie na stronie nie wskazuje powodu tego resetu. To sugeruje, że nie wszyscy z klientów zostali bezpośrednio poszkodowani w wyniku tego incydentu. Pytanie tylko czy dlatego, że ich danych atakującym nie udało się pozyskać, czy może dlatego, że atakujący jeszcze nie zdążyli im wydzwonić minut?

Przez kilka dni firma nie zauważyła fałszywych połączeń

Po e-mailu trzeciego z czytelników można przypuszczać, że problemy (ataki?) zaczęły się jeszcze przed weekendem, a monitoring połączeń EasyCall — jeśli istnieje — nie wychwycił wzrostu ruchu zagranicznego.

"Z kont prepaid klientów od 09.09 znikają pieniądze a w billingach widnieją połączenia do Algierii i Madagaskaru. Z mojego konta wsiąkło 400 zł. Z kilku pozostałych po 40 / 50 zł – bo tylko tyle było. Easycall w pierwotnym kontakcie udaje “głupiego” i prosi o zgłoszenie sprawy na policję , dopiero po udowodnieniu, że na kilku kontach dzieje się to samo przyznają się do naruszenia integralności systemów i obiecują zwrot środków .

Nie są w stanie stwierdzić jakie dane wyciekły. Ostrzeżcie użytkowników , co by zmieniali hasła i sprawdzali swoje konta czy nie ma na nich dziwnych połączeń do egzotycznych kierunków ."

A może nie było żadnego wycieku?

Jeden z czytelników zwrócił nam uwagę, że loginy i hasła do EasyCALL mają bardzo łatwy do przewidzenia (i “złamania”) format. Zarówno loginem jak i hasłem (przynajmniej do tej pory) był jedynie 6 znakowy ciąg numeryczny.

Można więc sobie wyobrazić, że ktoś po prostu enumerował kolejne loginy i próbował kolejne hasła, od 000000 do 999999, co nie jest ani skomplikowaną ani długą operacją, chyba że EasyCALL posiadało jakąś formę ochrony przed atakami zgadywania haseł. Czy tak było? Miejmy nadzieję, że nie, bo to paradoksalnie lepiej dla klientów. Wtedy można założyć, że nikt nie uzyskał nieautoryzowanego dostępu do bazy danych serwisu zawierającej poza hasłami także inne informacje na temat użytkowników.

Oświadczenie EasyCALL

O to, jak atakującym udało się pozyskać hasła klientów i czy poza hasłami wykradziono także skany dowodów (które jak twierdzi jeden z czytelników posiada operator) zapytaliśmy przedstawiciela EasyCALL. I chociaż biuro prasowe firmy zawierało treści sugerujące, że odpowiedzi szybko nie dostaniemy:

:Potwierdzam, że część Klientów faktycznie miała problem z włamaniami na swoje konta z uwagi na słabe hasła (z tego co zweryfikowaliśmy, zostały one złamane metodą brute force) co skutkowało wykonaniem z nich nieautoryzowanych połączeń.Z uwagi na niewielką skalę podjęliśmy decyzję, aby dla dobra Klientów pokryć te straty (zwracając środki na konta Klientów) oraz – profilaktycznie – zmienić hasła użytkowników na silniejsze.Z analizy ataku (sposobu jego przeprowadzenia) wynika, że żadne inne dane nie zostały wykradzione (w szczególności, że dane dot. logowania do usługi są inne, niż dane do logowania na stronie WWW, która daje dostęp do danych osobowych; dane osobowe przechowywane są również w innych systemach informatycznych niż te, które dają dostęp do usług telekomunikacyjnych). Szacujemy, że liczba kont, których dotyczy problem to ok. 500."

A więc firma potwierdza, że dostęp do kont klientów uzyskano poprzez złamanie ich haseł. Skala ataku pokazuje, że serwery EasyCALL przyjąć musiały sporo błędnych prób logowania, a czas reakcji sugeruje, że nie chyba nie zostało to od razu zauważone… Należy się jednak cieszyć, że obecnie polityka haseł użytkowników jest lepsza.

Wracając do polityki haseł, EasyCALL twierdzi że :

“część Klientów faktycznie miała problem z włamaniami na swoje konta z uwagi na słabe hasła”

…ale tu warto przypomnieć, że to EasyCALL nadał im takie “słabe hasła” i nie wymuszał ich zmiany.

Jestem klientem EasyCALL — co robić, jak żyć?

W międzyczasie, jeśli jesteście klientami tego operatora VoIP, to sprawdźcie swoje salda i zmieńcie ustawienia swoich softphonów/centralek, bo obecnie nie są zalogowane do sieci (ze względu na reset haseł) i z tego powodu wasi kontrahenci lub znajomi nie są w stanie się do was dodzwonić.

Jeśli odkryjecie podejrzane połączenia — zgłaszajcie to do EasyCALL — przynajmniej jednemu z naszych czytelników środki zostały zwrócone.

 

Źródło: niebezpiecznik.pl 

Dodaj komentarz

Upewnij się, że pola oznaczone wymagane gwiazdką (*) zostały wypełnione. Kod HTML nie jest dozwolony.

TPL_GK_LANG_BACK_TO_TOP