W Centertelu panuje totalny bałagan w kwestii polityki bezpieczeństwa. W tej chwili każdy Internauta może mieć dostęp do oferty Orange co najmniej kilkanaście godzin przed jej oficjalnym opublikowaniem. Niemożliwe? A jednak…
W tej chwili dostęp do katalogu z dokumentami Idei i Orange możliwy jest z poziomu najzwyklejszej przeglądarki www. Nie trzeba wykonywać żadnych innych czynności poza wpisaniem odpowiedniego adresu. Skorzystaliśmy okazji i zdobyliśmy w ten sposób kilkaset megabajtów ciekawych plików. Zapewne zanim dziura zostanie odkryta przez pracowników telekomu, uda nam się zdobyć informacje na temat najnowszych ofert operatora jeszcze przed ich oficjalnym opublikowaniem.
Wśród regulaminów i innych promocji, mniej więcej od 1998 roku, można znaleźć kilka ciekawych dokumentów, na przykład ofertę firmy Comarch na dostarczenie Centertelowi serwerów. Dokument z 2002 roku ma status Poufne. Nie wyrządzimy raczej żadnej szkody materialnej publikując go – a konkurencja niech sobie go poczyta i oceni czy miała lepszą, czy gorszą pozycję w Comarchu od Centertela. ;-)
Jacek Kalinowski, rzecznik grupy TP, zapowiedział zbadanie tej sprawy. Jeżeli nasze doniesienia się potwierdzą, to firma podejmie stosowne kroki w tej sprawie.
To już druga z kolei dziura w polityce bezpieczeństwa serwerów Centertela. Od trochę ponad miesiąca działała też inna metoda oparta o brute-force - szalenie skuteczna, wykorzystująca błąd w portalu i pozwalająca praktycznie w niezauważony sposób zobaczyć dokumenty, które dopiero mają zostać opublikowane w portalu Orange. Jednak ta odkryta kilka dni temu daje nieporównywalnie większe możliwości i bardziej ciekawe wyniki.
[Aktualizacja]
23. maja o godzinie 15:45 plik z ofertą został usunięty z naszego serwera na prośbę firmy Comarch. Nie chcemy zaogniać sytuacji, ale mamy cichą nadzieję, że udało nam się choć trochę zmobilizować Centertela do pracy nad swoją polityką bezpieczeństwa.
Źródło tekstu: wł
