Social Lending w Polsce

Zbieram się do napisania większego postu na temat startu Zakra.pl, ale jakoś nie za bardzo mam czas. Tym bardziej, że jeszcze nie skonczyłem urządzać się w nowym miejscu a czas nagli. Jednak ostatnie zamieszanie wokół wycieku danych, jaki ujawnił Black na soclen.pl zmusił mnie do poważniejszego przyjrzenia się tematowi.

Wymieniłem kilka  maili z p. Małgorzatą z Zakra.pl, żeby dowiedzieć się więcej. Wszystkie informacje, jakie pojawią się w tym wpisie, są autoryzowanymi informacjami od operatora. Oczywiście pomijając moje, jakieś tam uwagi czy dywagacje (bardzo podoba mi się to słowo :)).

A więc zaczynając od początku. Czas na suche fakty.

Publiczny czas trwania problemu.

Post z informacją upubliczniającą dziurę został opublikowany o godzinie 16:47, a już po niecałych 50 minutach dziura została załatana. Oczywiście nie wiem, kiedy dziura została faktycznie wykryta i jak długo informacja o niej była w posiadaniu wykrywającego. Nie moge napisać, że użytkownika Black, bo podobno informacja została mu przekazana przez “jednego z użytkowników Kokos.pl”.

Opis dziury.

Dziura dotyczyła dostępu do danych kont, które były w pierwszej fazie rejestracji, a więc kont które nie były do końca uruchomione. Z tego co zrozumiałem z opisu p. Małgorzaty, aby wejść w posiadanie informacji (a więc wykorzystać dziurę) należało ręcznie wpisywać adres, zmieniając numer klienta. W przypadku “trafienia” na konto, które nie było do końca aktywowane system “wysypywał” się stroną z informacjami, które nie powinny się tam pojawić. Jeżeli “trafiało” się na wypełnione konto, to automatycznie użytkownik był przenoszony na stronę dostępną dla innych użytkowników systemu Zakra.pl.

Błąd nie pozwalał na dostanie się do bazy danych przechowujących dane użytkowników systemu Zakra.pl.

Tak więc, dziura nie dotyczyła wszystkich użytkowników, ale tylko takich którzy w momencie sprawdznia nie mieli do końca aktywnych kont.

Zakres danych które wyciekły.

Ponieważ dziura dotyczyła jedynie kont, które nie zostały w pełni aktywowane, w systemie przechowywane były jedynie (a może aż):

• login
• zahaszowane hasło
• PIN
• e-mail

Ponieważ aktualizacja danych w tych kontach nie była ukończona, system nie posiadał jeszcze żadnych danych osobowych według art. 6 ustawy o ochronie danych osobowych, więc do wycieku tych danych nie mogło dojść. Oczywiście żadne dane z takiego portalu nie powinny wyciec…

Login wszyscy znamy i jest on dostepny, więc tym się nie martwię.

Zahaszowane hasło jest praktycznie nie do złamania. Oczywiście każde hasło można złamać, ale wątpię, że ktokolwiek dysponuje mocami obliczeniowymi potrzebnymi do wykonania tego zadania w rozsądnym czasie.

Boli mnie trochę PIN, który jest przecież kodem potrzebnym do poświadczenia.

Z adresem e-mail mam duży problem. Zresztą nie ja sam jeden. Generalny Inspektor Ochrony Danych osobowych ma poważny problem kwalifikcją adresu mailowego. Suma sumarum też nie powinien wypłynąć, ale nie są to dane osobowe.

Tak więc zakres danych które wypłynęły był bardzo ograniczony.

Inne infomacje.

P. Małgorzata poinformowała mnie, że  przeprowadzili analizę logów i wyłapny został adres IP z którego generowane były te błędy. Tak więc wychodzi na to, że ktoś celowo szukał dziury w systemie.

Chwała mu za to, bo każdy system powinien być dokładanie sprawdzony, ale…

Czas więc na moje dywagacje.

Chwała osobie która dokonała tego sprawdzenia, ale po wykryciu błędów, pierwszym ruchem powinno być zgłoszenie tej dziury do administratora serwisu. Dopiero po tym, jak administrator oleje zgłoszenie, można sprawę nagłośnić, ale bez przekazywania tych informacji osobom trzecim (bo podobno to Black jest tylko pośrednikiem) i bez upubliczniania zdobytych informacji. Z tego co pamiętam z przepisów (chyba ustawa o świadczeniu usłg drogą elektroniczną, czy któraś powiązana) w tym momencie doszło nawet do złamania jakiś przepisów – udostępnienie zdobytych danych (osoba które je zdobyła i przekazała dla Blacka oraz sam Black upublicznił na forum). Nie jestem do końca pewny a nie za bardzo mam czas szukać w ustawach. Podobny problem miał chłopak, który jakiś czas temu upublicznił informację o dziurze w systemie rekrutacyjnym PEKAO S.A.  Tylko, że na skutek dziury dane osobowe same wypłynęły do Google (zostały skatalogowane przez crawlery) i tam zostały odnalezione. Tutaj uzytkownik poszedł dalej i sam próbował szukać dziury. A szukanie dziur w systemie, to nic innego jak włamanie do systemu informatycznego. :)

Chwała też teamowi Zakra.pl za szybką reakcję – 50 minut na usunięcie dziury to przyzwoity czas, chociaż  ta dziura nie powinna zaistnieć. Zdaję sobie sprawę, że nie wszystko da się przetestować i błędy pojawiają się w systemach bankowych, ale jednak niesmak pozostaje.

Pociesza mnie też fakt, że operator nie stara się zamieść problemu pod dywan i stara się rozwiązać problem – ze strony informatycznej oraz Piarowej.

Nie podoba mi się zachowanie Blacka. Nie powinien upubliczniać danych i informować o zakresie dziury przed powiadomieniem administratora. Oczywiście po zawiadomieniu mógł i powinien (w razie jakby operator nabrał wody w usta) dać publicznie informację o dziurze… ale bez publikacji danych i bez różnych domniemywań na zasadzie… nie wiadomo jakie dany i w jakiej ilości wypłynęły.  Dodatkowo odgrażanie się prokuraturą jest dość zabawne i dziecinne. Skoro ktoś uważa, że doszło do naruszenia prawa i jest tego pewien, to powinien natychmiast złożyć doniesienie.

W sumie mam nadzieję, że ta wpadka, podobnie jak upadek monetto.pl, wzmocni rynek SL i zwróci uwagę na bezpieczeństwo. Z tego co wiem, niedługo Zakra.pl wdroży wymuszenie zmiany hasła co 30 dni i tym samy stanie się pierwszym systemem social lending, który będzie spełniał wymagania rozporządzenie do UODO w stosunku do haseł w systemach przetwarzających dane osobowe.