Aproape 1.000.000 de clienți UPC, vulnerabili din cauza parolelor de wi-fi

O problemă tehnică pe care am avut-o cu internetul furnizat de UPC a scos la iveală vulnerabilitățile companiei din punct de vedere al securității parolelor clienților.

UPC este una dintre cele mai mari companii de telecomunicații și are în România 975.100 de clienți cu o arie de acoperire de 3,11 milioane de case la nivel național, conform datelor de pe site-ul companiei.

Am sesizat UPC că am întâmpinat probleme cu conexiunea la internet.

Un operator din departamentul Relații cu Clienții mi-a oferit suport tehnic pentru resetarea modemului de internet la setările din fabricație, modem UPC România aflat în custodia mea.

Operatorul mi-a comunicat că resetarea modemului determină resetarea rețelei Wi-Fi și implicit a denumirii acesteia și a parolei asociate.

Resetarea modemului nu a reușit și operatorul mi-a recomandat să încerc să mă conectez la o altă frecvență a rețelei Wi-Fi.

I-am spus operatorului că am uitat parola pe care am setat-o singur și, spre surpinderea mea, mi-a comunicat-o.

Acea parolă nu trebuia să fie cunoscută de operator.

Cel mult, acest trebuia să reseteze parola veche, să-mi comunice o altă parolă și eu s-o modific.

Am solicitat UPC un punct de vedere, având în vedere faptul că orice operator UPC cunoaște parola Wi-Fi și o poate da oricui.

„Operatorul nu accesează un fișier sau o bază de date pentru a viziona aceste informații. UPC Romania nu stochează parolele configurate de clienți, parolele fiind stocate doar pe echipamentul folosit de către client”, a fost răspunsul UPC.

„ Parolele introduse de clienți nu sunt vizibile personalului din cadrul companiei noastre, acestea putând fi vizibile doar reprezentantului din departamentul Relații cu Clienții care acordă suportul tehnic solicitat de client”, a mai adăugat reprezentantul UPC.

Am mai cerut UPC să precizeze și câte persoane din cadrul companiei au acees la aceste informații, dar nu am primit răspuns.

Corporate Communication Senior Managerul a ținut să precizeze că, nepăstrând parolele într-o bază de date, nu există niciun pericol de posibile atacuri informatice.

Acest fapt este contrazis însă de experții pe care i-am contactat.

Unul dintre ei este specialist în dreptul tehnologiei informațiilor și celălalt, în protecția datelor – GDPR.

Primul a explicat pentru News Romania că există o problemă gravă de protecția datelor și că răspunsurile primite de la UPC sunt, din punct de vedere al securității datelor, cel puțin neglijente dacă nu chiar prostești.

Parola în sine nu este o dată cu caracter personal sau nu ar trebui să fie dacă în parolă nu este introdus numele.

Practic, operatorul UPC a intrat de la distanță în modemul de Wi-Fi pe care îl am în custodie, a văzut parola în acesta și a avut acces la ea.

Acest tip de stocare a parolelor se numește stocare în „plaintext” și reprezintă o problemă gravă de securitate pentru că informațiile nu sunt criptate.

Facebook a stocat astfel parole a sute de milioane de utilizatori și și-a dat seama de vulnerabilitatea păstrării lor în acest mod.

Facebook a admis în martie 2019 că sute de milioane de parole au fost stocate în „plaintext” ani la rând.

Descoperirea a fost făcută în ianuarie 2019 în urma unei verificări de rutină în privința securității, dar nimeni din afara Facebook nu avea acces la parole.

Totuși, Facebook a recunoscut abia luna trecută că a existat o breșă de securitate.

Reprezentanții companiei americane au declarat că nu există date că cineva ar fi accesat parolele sau ar fi făcut abuzuri.

Aceștia au explicat că vor notifica sute de milioane de utilizatori Facebook Lite și zeci de milioane de utilizatori Facebook că au fost expuși din cauza unui virus.

Jurnalistul Brian Krebs, specializat în securitate cibernetică, a explicat într-un articol că au fost afectați 600 de milioane de utilizatori, aproape o cincime din totalul clienților Facebook.

Păstrarea parolelor în „plaintext” este o metodă nesigură de stocare a acestora.

Și Twitter și GitHub au avut probleme similare în 2018, dar au precizat că parolele stocate în „plaintext” nu au fost afectate.

Mai mult, Facebook a permis altor companii high-tech să acceseze datele fără a avea consimțământul utilizatorilor, fapt anchetat în prezent de autorități.

Nu se știe de ce i-a trebuit Facebook două luni să confirme incidentul de securitate sau dacă a anunțat acest lucru autorităților americane sau celor din UE specializate pe protecția datelor, mai scrie jurnalistul.

Expertul român în tehnologia informației a explicat că, dacă modemul de UPC nu este luat de la companie și operatorii firmei au acces la parola de Wi-Fi, se poate vorbi despre un acces neautorizat la un sistem informatic.

„Este sigur o problemă gravă de securitate, dar nu este nimic ilegal”, a adăugat el.

Specialistul în protecția datelor personale – GDPR consultat de News Romania a explicat că UPC, la fel ca alte companii, au certificare ISO.

În cazul în care compania nu-și rezvolvă problema de securitate, i se poate retrage certificatul.

Certificatul ISO este un ghid de bune practici, momentan cu rol de lege, care demonstrează că firma respectă standardele în materie de securitate informatică.

Standardul ISO 27001 / IEC 27001:2013 (securitatea informațiilor) specifică cerințele pentru stabilirea, implementarea, menținerea și îmbunătățirea în mod continuu a unui sistem de management al securității informației în cadrul organizațiilor.

Acesta include cerințe pentru evaluarea și rezolvarea riscurilor de securitate a informației.

Problema este că nu ai unde să reclami această problemă de securitate. Doar Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii -ANCOM face controale. Și acelea sunt periodice”, a adăugat expertul în GDPR.

Este bine să nu aveți aceeași parolă pentru conturile și dispozitivele pe care le folosiți pentru că există riscul ca acestea să fie accesate de cine nu trebuie.

În cazul descris mai sus, dacă operatorul știe parola de Wi-Fi, poate încerca să acceseze un cont de email folosind acea parolă. Lucru, ilegal. Dar o poate face.

UPC nu a reușit să mă convingă că nu există o vulnerabilitate în acest sens.

ADRIAN MOGOȘ

Adrian Mogoș este jurnalist freelancer, membru al Centrului Român pentru Jurnalism de Investigație și al International Consortium of Investigative Journalism. În cadrul ICIJ a făcut parte din echipa de jurnaliști a proiectului Offshore Leaks. A fost timp de opt ani șeful Departamentului Investigații al cotidianului Jurnalul Național. A primit bursele Balkan Fellowship for Journalistic Excellence și Milena Jesenská - Institute for Human Sciences din Viena. Pentru activitatea jurnalistică a fost premiat cu: CEI-SEEMO Award, Kurt Schork Award și mențiune specială Global Shining Light Award. Una dintre investigațiile pe care le-a coordonat a fost inclusă în UNESCO Global Casebook for Investigative Journalism, iar o alta a primit din partea juriului European Press Prize apreciere specială.