[Orange] Orange FLEX: Czyli "chcesz, masz" - dyskusja ogólna

[KC-KARLOS]

A ja przypominam, to o czym pisałem niedawno - dobre wewnętrzne zabezpieczenia telefonu (FaceID, hasło, PIN karty SIM, który jest wymagany od jej pierwszego użycia), czy wyłączenie na koncie automatycznego logowania na necie z sieci komórkowej Orange = mniejsze ryzyko włamania na konto w apce Flex. Warto pisać do Orange, aby jeszcze bardziej mogli te zabezpieczenia wzmocnić, byleby nie zaszkodzić procesom samoobsługowym, który są istotą działania tej oferty.
Dodam, iż każda aktualizacja / nowa wersja aplikacji z reguły wylogowuje użytkownika z apki - nawet funkcja automatycznego logowania do apki po kilku-kilkunastu dniach również wyrzuca usera z apki i trzeba się ponownie zalogować.

Warto też wspomnieć, iż jeśli zapomnimy loginu lub hasła - wówczas NIE MAMY dostępu do konta, nie ma żadnych opcji ratunkowych - więc ta Wasza "troska" o bezpieczeństwo jest bezsensowna, skoro dzięki temu zwykły użytkownik traci kontrolę nad kontem - wówczas trzeba się ratować innym kontem i czatem z doradcą w aplikacji. Ten proces należy usprawnić. Więc proszę nie przesadzać z tym pozornym brakiem bezpieczeństwa.

[Remington]

Taaaa. Powiedz to temu gościowi z forum Orange, na którego ktoś się zalogował i coś kupił. On jest najlepszym przykładem, nawet jeśli to on przyczynił się do wycieku.

Kluczowe z punktu widzenia bezpieczeństwa czynności (jak wymienione przeze mnie poprzednio) powinny być autoryzowane - bezdyskusyjnie. Samo uwierzytelnienie statycznym loginem i hasłem to za mało. I Orange o tym doskonale wie, bo prawidłowo zabezpiecza takie czynności w MO.

[KC-KARLOS]

Remington: to też zawodzi, tym bardziej, że tą autoryzację SMS można w każdej chwili dezaktywować.

[Remington]

Nie dla takich rzeczy jak podmiana SIM (tu można nawet wyrobić klona, a Orange nawet o tym nie raczy poinformować). Tam kod SMS na starą kartę jest częścią procesu.

[KC-KARLOS]

Remington: do wymiany SIMki w Orange lub nju nie potrzebujesz kodu SMS.
Jak czytałem logowanie odbywało się poprzez mechanizm odzyskiwania hasła poprzez email. To jest najsłabszy punkt logowania do apki Flex. A przy logowaniu poprzez numer telefonu przychodzi kod SMS. Jeśli subskrypcja Flex / nju subskrybcja jest nieaktywna, to tracimy tą skuteczniejszą formę logowania (jak pisałem trzeba zwrócić się do innego usera Flex i pomoc doradcy).
Pytanie jest takie: Ile jest tych przypadków, zacytowanych z komentarza w sklepie Play oraz z forum operatora? Bo przy jednym przypadku nikt nie będzie sobie zaprzątał głowy. Przy kilku - możliwe, że byłaby reakcja.

Z drugiej strony, jeśli ciągle mamy zmieniać adres email do logowania do apki - to też jest bezsensowne i pozorne bezpieczeństwo. Jedyne, co mi teraz przychodzi do głowy, aby chwilowo dobrze się zabezpieczyć, to mail tymczasowy + logowanie numerem telefonu z hasłem SMS, dopóki Orange czegoś nie wymyśli.

Niektórzy krytykują Flexa, a tymczasem w innych sieciach też można "wykraść" takie konto obsługowe u innego operatora. Jednocześnie sorki za offtopic, ale chcę nakreślić sytuację, która może się zdarzyć nie tylko we Flexie.

Sam tydzień temu miałem icydent z mailem założonym do konta w Mój T-Mobile i testowaniem abonamentu "nielimitowanego" w T na 6 miesięcy. Po zalogowaniu się mailem, okazało się że miałem dostęp do obsługi numeru telefonu i usługi tv innego klienta (mojego numeru już tam nie było, a konto nie zostało usunięte). Po kontakcie z gościem, który jest właścicielem usług, poinformowałem go o sytuacji i poprosiłem o interwencje w punkcie T-Mobile. Zapewnili, że rozwiążą problem i ktoś podpiął do mojego maila ten sam numer tymczasowy, użyty do mojego abo w T, w trakcie procesu MNP z Play. To jest nieodpowiedzialna i kuriozalna sytuacja.
Na szczęście mój mail został już z Mój T-Mobile usunięty.
Patrząc na to, jak długo kiedyś naprawiali błąd, który uniemożliwiał mi logowanie do innych numerów w T na kartę w ramach Mój T-Mobile, mamy jeszcze "lepszego" operatora, który olewa bezpieczeństwo i poprawne działanie apki obsługowej.

[Remington]

Remington: do wymiany SIMki w Orange lub nju nie potrzebujesz kodu SMS.

Przepraszam, racja - trzeba samemu wysłać SMS ze starej karty. Niemniej jest to zabezpieczenie. Jesli nic się we Flex nie zmieniło, to zarówno wymiana SIM albo wyrobienie karty dodatkowej (czyli dwi czynności krytyczne ze względu bezpieczeństwa) odbywają się bez żadnej weryfikacji czy to w ogóle użytkownik numeru je zleca. Ani nawet bez powiadomienia go o tym.

Nie w samym przejęciu konta leży problem (w Plusie jest jeszcze gorzej- statyczne niezmienne hasło w apce nadal działa). Tylko w tym co takim przejęciem można nabroić - we Flexie o wiele za dużo.

Zasada jest prosta - każdy łańcuch jest tak mocny jak jego najsłabsze ogniwo, a każdy system, aplikacja, proces jest tak bezpieczny jak jego najsłabszy punkt. Wszak choćby jeden wyjątek obala, a nie potwierdza, regułę. Ergo: jeśli nic się nie zmieniło od czasu mojego pierwotnego wpisu, to Flex nadal nie jest bezpieczny.

[iphoneski]

@Remington
Z drugiej strony gdy w klasycznym Orange utracisz eSIM, to nie odzyskasz numeru bez wycieczki do salonu. Ja tak raz zrobiłem, bo chciałem puścić telefon z czystym systemem. Wieczór, salon zamknięty a ja bez telefonu. We Flexie logowanie do apki i numer odzyskany, nawet jeśli bezpieczeństwo nieco cierpi. Chyba, że teraz już to inaczej wygląda i zerowanie telefonu nie wymazuje dodanych tam profili.

[Remington]

No i bardzo dobrze - zabezpiecza przed SIM swap, który jest bardzo groźny. Nie po to było tyle dymu, publikacji prasowych i wdrażania nowych procedur żeby dało się to zrobić znając tylko login i hasło.

[Czlowiek_z_Zelaza]

Panowie i Panie. Tu powinno być logowanie przez aplikację bankowosci mobilnej wraz z podaniem hasła sms.

Dobrze by było aby połączyli mobywatela 2.0 z tymi wszystkimi możliwościami przeniesienia numeru przez neta, logowania fo apek itp. To najlepsze rozwiązanie wg mnie

[kemsinenu]

Najlepszy byłby klucz sprzętowy FIDO2. Od biedy obsługa Passkey.

[iphoneski]

No i bardzo dobrze - zabezpiecza przed SIM swap, który jest bardzo groźny. Nie po to było tyle dymu, publikacji prasowych i wdrażania nowych procedur żeby dało się to zrobić znając tylko login i hasło.

Tylko jak utracisz simkę w okresie świątecznym albo do najbliższego salonu musisz cisnąć kilkadziesiąt kilometrów samochodem, to ta optyka jest już zupełnie inna. Niestety ale w życiu zawsze masz coś za coś - w tym przypadku łatwość obsługi vs bezpieczeństwo na najwyższym poziomie.

[IC_Current]

"Dobrze by było aby połączyli mobywatela 2.0 z tymi wszystkimi możliwościami przeniesienia numeru przez neta, logowania fo apek itp. To najlepsze rozwiązanie wg mnie"

Nie dobrze. Przynajmniej w przypadku konta telefonicznego. Jak utracisz eSIM albo coś się stanie z telefonem / kartą, to jak się zalogujesz do mObywatela? Błędne koło - nie zrobisz nic z telefonem bo nie masz mObywatela, nie zrobisz nic z mObywatelem bo nie masz telefonu.

[Czlowiek_z_Zelaza]

Zalogujesz się przez komputer i edowod... proste

[KC-KARLOS]

Czlowiek_z_Zelaza: mObywatel na komputerze (właściwie obywatel.gov.pl) to co innego niż jego wersja na smartfonie.

[IC_Current]

"Zalogujesz się przez komputer i edowod... proste"

Nie zalogujesz, bo po pierwsze e-dowód to obecnie ciekawostka techniczna i mało osób go posiada a jeszcze mniej ma aktywną warstwę elektroniczną.
Po drugie - co z sytuacją kiedy nie masz smartfona albo masz telefon w niezgodnej wersji systemu operacyjnego?
Po trzecie - co z osobami nieposiadającymi dowodu? Choćby obcokrajowcami albo niepełnoletni?

[Czlowiek_z_Zelaza]

@karlos20 chłopie wpisz sobie www.mobywatel.gov.pl i zobacz gdzie co się pojawi. Radzę sprawdzić niż pierw pisać niesprawdzone info..

@ic_current a co mnie obcokrajowcy obchodzą.. w innych krajach nami się zbyt nie przejmują.
I jeszcze jedna ważna rzecz-dowod osobisty w polsce może mieć każdy, włącznie z dzieckiem mającym kilka lat. Przykład zupełnie nie trafiony

[KC-KARLOS]

Czlowiek_z_Zelaza: Ręce opadają. Korzystam z serwisu rządowego gov.pl i wiem jak to działa. Nie wmawiaj mi, że serwis komputerowy działa tak samo, jak apka, bo nie masz racji.
Obywatel.gov.pl wymaga adresu mailowego + hasła + Profil Zaufania + kod sms, aby móc się zalogować - dopiero po konfiguracji aplikacji mobilnej masz kolejną opcję autoryzacyjną na tej stronie, aby podpisać wniosek z usług rządowych, który składasz. mObywatel (apka) tylko przy zaciąganiu danych do mDowodu potrzebuje tych samych danych co w opcji komputerowej, dopiero podczas konfiguracji apki, potrzebny jest adres email, hasło, zabezpieczenie biometryczne lub kod sms. Apka ma mniej funkcji co wersja komputerowa.
Reasumując:
obywatel.gov.pl - logujesz się loginem + hasłem + kod sms.
mObywatel (apka): login i hasło, możesz też użyć jedynie zabezpieczenia biometrycznego (wspomagane hasłem, gdy identyfikacja się nie uda).

I to tyle, mega mocno odbiegliśmy od tematu, bo usługi rządowe nie zabezpieczają czy nie logują nas do apki Orange Flex.

[Czlowiek_z_Zelaza]

Karlos, mega szybko zmienisz numer telefonu w wersji komputerowej nie mając przy sobie fizycznie tej karty sim z numerem, który chcesz zmienić...

Chyba niezbyt często z niej korzystasz.

[KC-KARLOS]

Czlowiek_z_Zelaza: a co to już ma wspólnego z Orange Flex? Tam numer telefonu też możesz zmienić - bez wymiany karty SIM. Skończ już offtopic.

[Remington]

Dokładnie, dyskusja czysto teoretyczna, bo państwo nie udostępnia swoich narzędzi prywatnym firmom.

Ale MojeID już jest wykorzystywane przez operatorów do weryfikacji tożsamości, więc ono mogłoby służyć jako alternatywny sposób logowania w sytuacjach awaryjnych.