[Karty] Na przełomie roku transakcje internetowe n a stronie LOT-u nie były dobrze zabezpiecz one

[Piotr J. Ochwal]

http://gospodarka.gazeta.pl/gospodarka/1,34912,1882398.html

Co najmniej przez 10 dni na przełomie grudnia i stycznia płatności
kartami kredytowymi na witrynie internetowej PLL LOT nie były
odpowiednio zabezpieczone. Mogło dojść do wycieku danych osobowych i
numerów kart

- Informacje internetowych klientów PLL LOT wysyłane były otwartym
tekstem, każdy po drodze mógł je podsłuchać. Takie niezaszyfrowane
dane zostawały również w logach wszystkich serwerów po drodze od
klienta do PLL LOT. Moim zdaniem należałoby powiadomić wszystkich
klientów, którzy dokonywali w tym czasie transakcji by zablokowali
swoje karty kredytowe - mówi Ireneusz Parafjańczuk z CERT Polska,
firmy zajmującej się problematyką bezpieczeństwa w Internecie.

Feralny dla klientów LOT-u okres trwał od 30 grudnia do 7 stycznia.
Jeśli ktoś wtedy kupował bilet na stronie naszego przewoźnika i płacił
kartą, powinien liczyć się z zagrożeniem utraty pieniędzy. Aby kupić
coś w sieci, wystarczy imię i nazwisko posiadacza karty, jego adres,
numer karty oraz data ważności - a wszystkie te dane na stronie LOT
nie były szyfrowane i mogły trafić w ręce nieuprawnionych osób.

Eksperci ds. bezpieczeństwa w internecie są zgodni: mogło dojść do
wycieku poufnych danych i obecnie nie da się zweryfikować czy do tego
doszło.

LOT od kilku miesięcy intensywnie promuje zakupy przez internet kusząc
klientów licznymi promocjami dostępnymi tylko w sieci. Lepsze ceny,
dodatkowe mile w programie Miles and More, możliwość wyboru miejsca na
pokładzie samolotu to część atrakcji jakie czekają na kupujących
bilety przez internet.

Nieprawidłowe działanie systemu zbiegło się z kolejną promocją na
stronach LOT: klientów, którzy w feralnym okresie kupowali bilety
przez internet mogło być setki, a może nawet tysiące. LOT informuje
jednak, że zagrożenia nie było, a problemy miały jedynie charakter
przejściowy. - Nasze transakcje są na bieżąco monitorowane, cały czas
jest sprawdzana jest transmisja danych pomiędzy systemem LOTu i
eCardu. Aby przechwycić dane, należałoby się włamać bądź na serwer
LOTu lub eCardu, ewentualnie na któryś z routerów przez, które
przebiega połączenie. Nic takiego nie miało miejsca - zapewnia Leszek
Chorzewski, rzecznik PLL LOT. Do wycieku informacji mogło jednak dojść
poza serwerami LOT bowiem firma nie zapewniła szyfrowania przesyłanych
do niej danych osobowych. Wcześniej, podczas rozmowy telefonicznej,
rzecznik LOT zapewniał, że usterka trwała 15 minut, ale specjaliści z
ANIXE, firmy obsługującej system rezerwacji i zakupów biletów dla LOT,
błyskawicznie ją wychwycili i naprawili.              

Jednak LOT oraz ANIXE przez wiele dni nie wiedzieli o istnieniu
problemu. Błąd naprawiono dopiero 7 stycznia, po kolejnym zgłoszeniu
nieprawidłowości w funkcjonowaniu systemu do firmy eCard
odpowiedzialnej za autoryzację płatności internetowych.

- Brak szyfrowania wystąpił na serwerach LOT, do których nie mamy
dostępu. Tym samym trudno mi komentować dlaczego problem nie został
wykryty wcześniej. Problem był niezależny od nas, nasz system działał
prawidłowo i wszystkie transakcje trafiały do nas zgodnie z
obowiązującymi procedurami bezpieczeństwa - mówi Piotr Kaczanowski,
z-ca Dyrektora Sprzedaży i Marketingu eCard.

Stefan Jurczyk, dyrektor techniczny home.pl, dużego dostawcy usług
internetowych 

W ciągu kilku pierwszych dni stycznia 2004 r. moduł rezerwacji i
zakupu biletów w serwisie internetowym PLL LOT nie był szyfrowany
bezpiecznym protokołem SSL. Z tego powodu nieuprawnione osoby mogły
podsłuchiwać dane przesyłane przez klientów LOT-u. W tym okresie
dokonałem kilkunastu symulacji transakcji, w różnych dniach i o
różnych porach. Z pewnością nie był to błąd chwilowy, bo szyfrowanie
nie wystąpiło ani razu.

Wpadka techniczna LOT-u nie jest pierwszym tego typu zdarzeniem w
Internecie. Podobne problemy z bezpieczeństwem miały takie tuzy rynku
jak: AOL, Microsoft, CD Universe a także sami operatorzy kart
kredytowych: Visa i MasterCard. W odróżnieniu od LOT-u, który problem
bagatelizuje i próbuje retuszować sprawę, firmy te przyznały się
publicznie do zaistniałego problemu i poinformowały o tym swoich
klientów.

Co to jest SSL? 

SSL (Secure Socket Layer) to bezpieczny protokół komunikacyjny używany
w internecie od 1993 r. (po raz pierwszy został wprowadzony do
przeglądarki internetowej Mosaic). To podstawowy mechanizm ochrony
przesyłanych danych przed podsłuchem. Używany jest na stronach WWW
banków, sklepów internetowych, firm oferujących usługi jak i
operatorów płatności przy użyciu kart kredytowych.