Błąd na stronie LOT-u groźny dla klientów

Jak informuje Gazeta.pl - co najmniej przez 10 dni na przełomie grudnia i stycznia płatności kartami kredytowymi na witrynie internetowej PLL LOT nie były odpowiednio zabezpieczone. Mogło dojść do wycieku danych osobowych i numerów kart.

- Informacje internetowych klientów PLL LOT wysyłane były otwartym tekstem, każdy po drodze mógł je podsłuchać. Takie niezaszyfrowane dane zostawały również w logach wszystkich serwerów po drodze od klienta do PLL LOT. Moim zdaniem należałoby powiadomić wszystkich klientów, którzy dokonywali w tym czasie transakcji by zablokowali swoje karty kredytowe - mówi Ireneusz Parafjańczuk z CERT Polska, firmy zajmującej się problematyką bezpieczeństwa w Internecie.

Feralny dla klientów LOT-u okres trwał od 30 grudnia do 7 stycznia. Jeśli ktoś wtedy kupował bilet na stronie naszego przewoźnika i płacił kartą, powinien liczyć się z zagrożeniem utraty pieniędzy. Aby kupić coś w sieci, wystarczy imię i nazwisko posiadacza karty, jego adres, numer karty oraz data ważności - a wszystkie te dane na stronie LOT nie były szyfrowane i mogły trafić w ręce nieuprawnionych osób.

Eksperci ds. bezpieczeństwa w internecie są zgodni: mogło dojść do wycieku poufnych danych i obecnie nie da się zweryfikować czy do tego doszło.

LOT od kilku miesięcy intensywnie promuje zakupy przez internet kusząc klientów licznymi promocjami dostępnymi tylko w sieci. Lepsze ceny, dodatkowe mile w programie Miles and More, możliwość wyboru miejsca na pokładzie samolotu to część atrakcji jakie czekają na kupujących bilety przez internet.

Nieprawidłowe działanie systemu zbiegło się z kolejną promocją na stronach LOT: klientów, którzy w feralnym okresie kupowali bilety przez internet mogło być setki, a może nawet tysiące. LOT informuje jednak, że zagrożenia nie było, a problemy miały jedynie charakter przejściowy. - Nasze transakcje są na bieżąco monitorowane, cały czas jest sprawdzana jest transmisja danych pomiędzy systemem LOTu i eCardu. Aby przechwycić dane, należałoby się włamać bądź na serwer LOTu lub eCardu, ewentualnie na któryś z routerów przez, które przebiega połączenie. Nic takiego nie miało miejsca - zapewnia Leszek Chorzewski, rzecznik PLL LOT. Do wycieku informacji mogło jednak dojść poza serwerami LOT bowiem firma nie zapewniła szyfrowania przesyłanych do niej danych osobowych. Wcześniej, podczas rozmowy telefonicznej, rzecznik LOT zapewniał, że usterka trwała 15 minut, ale specjaliści z ANIXE, firmy obsługującej system rezerwacji i zakupów biletów dla LOT, błyskawicznie ją wychwycili i naprawili.

Jednak LOT oraz ANIXE przez wiele dni nie wiedzieli o istnieniu problemu. Błąd naprawiono dopiero 7 stycznia, po kolejnym zgłoszeniu nieprawidłowości w funkcjonowaniu systemu do firmy eCard odpowiedzialnej za autoryzację płatności internetowych.

- Brak szyfrowania wystąpił na serwerach LOT, do których nie mamy dostępu. Tym samym trudno mi komentować dlaczego problem nie został wykryty wcześniej. Problem był niezależny od nas, nasz system działał prawidłowo i wszystkie transakcje trafiały do nas zgodnie z obowiązującymi procedurami bezpieczeństwa - mówi Piotr Kaczanowski, z-ca Dyrektora Sprzedaży i Marketingu eCard.

Stefan Jurczyk, dyrektor techniczny home.pl, dużego dostawcy usług internetowych

W ciągu kilku pierwszych dni stycznia 2004 r. moduł rezerwacji i zakupu biletów w serwisie internetowym PLL LOT nie był szyfrowany bezpiecznym protokołem SSL. Z tego powodu nieuprawnione osoby mogły podsłuchiwać dane przesyłane przez klientów LOT-u. W tym okresie dokonałem kilkunastu symulacji transakcji, w różnych dniach i o różnych porach. Z pewnością nie był to błąd chwilowy, bo szyfrowanie nie wystąpiło ani razu.

Wpadka techniczna LOT-u nie jest pierwszym tego typu zdarzeniem w Internecie. Podobne problemy z bezpieczeństwem miały takie tuzy rynku jak: AOL, Microsoft, CD Universe a także sami operatorzy kart kredytowych: Visa i MasterCard. W odróżnieniu od LOT-u, który problem bagatelizuje i próbuje retuszować sprawę, firmy te przyznały się publicznie do zaistniałego problemu i poinformowały o tym swoich klientów.

Co to jest SSL?

SSL (Secure Socket Layer) to bezpieczny protokół komunikacyjny używany w internecie od 1993 r. (po raz pierwszy został wprowadzony do przeglądarki internetowej Mosaic). To podstawowy mechanizm ochrony przesyłanych danych przed podsłuchem. Używany jest na stronach WWW banków, sklepów internetowych, firm oferujących usługi jak i operatorów płatności przy użyciu kart kredytowych.