Niebezpiecznik News<p>Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.</p><p>PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież&nbsp;dość istotne dane na temat ludzi… <br>Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient. Tak wyglądała strona do odzyskiwania hasła, którą Czytelnik zobaczył:<br>Strona odzyskiwania hasła w klient.interrisk.pl<br>Jak widać, odzyskanie hasła wymaga podania loginu i telefonu, ale…</p><p>Rolę loginu może pełnić PESEL.<br>Można podać dowolny numer telefonu, a zresetowane hasło przyjdzie na ten właśnie numer.</p><p>Widzicie już&nbsp;problem? Znając PESEL klienta InterRisk i podając jakikolwiek numer telefonu do którego mamy dostęp otrzymywaliśmy nowe hasło. Przychodziło SMS-em na podany przez nas numer, niezależnie od tego, czy był on wcześniej używany przez danego klienta. Dzięki temu można było się&nbsp;zalogować na konto dowolnego klienta InterRisk.</p><p>i zobaczyć taki panel, dający wgląd w wykupione usługi i różne zakresy danych (w zależności od typu ubezpieczenia):</p><p>Łatwo można ustalić dane klientów InterRisk (i nie tylko tej firmy)<br>Dodajmy, że jeśli ktoś chciałby zdobyć numery PESEL klientów konkretnej firmy ubezpieczeniowej (np. InterRisk, ale nie tylko) może spróbować użyć w tym celu choćby powszechnych wyszukiwarek. W trakcie pisania tego tekstu znaleźliśmy w internecie trochę polis takich jak ta poniżej. Została ona opublikowana w pewnym miejscu najprawdopodobniej wskutek [...]</p><p><a href="https://mastodon.com.pl/tags/DaneOsobowe" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>DaneOsobowe</span></a> <a href="https://mastodon.com.pl/tags/Interrisk" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>Interrisk</span></a> <a href="https://mastodon.com.pl/tags/PESEL" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>PESEL</span></a> <a href="https://mastodon.com.pl/tags/Ubezpieczenia" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>Ubezpieczenia</span></a></p><p><a href="https://niebezpiecznik.pl/post/mozna-bylo-pozyskac-dane-dowolnego-klienta-interrisk-wystarczylo-znac-jego-pesel/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">niebezpiecznik.pl/post/mozna-b</span><span class="invisible">ylo-pozyskac-dane-dowolnego-klienta-interrisk-wystarczylo-znac-jego-pesel/</span></a></p>