logo itpoint.cz

Proč T-mobile zpřístupnil kódy mobilů

Velice mne znepokojil způsob, jakým společnost RadioMobil v současné době umožňuje tarifním a twist zákazníkům přístup k získání prvních čtyř číslic kódu PUK2. Domnívám se, že zvolený způsob, který spočívá v získání tohoto kódu prostřednictvím hlasového profilu infolinky T-Mobile, aniž by byla jakkoli jinak ověřena další oprávnění volajícího k přístupu k tomuto údaji, vystavuje uživatele Vašich služeb nepřiměřenému riziku. Dopis odeslaný dne 19.2. 2003 společnosti Radiomobil + odpověď na něj ...

RadioMobil a.s.
Londýnská 730
120 00 Praha 2
IČO: 649 49 681

České Budějovice, 19. února 2003

Věc: Dodržování Všeobecných podmínek společnosti RadioMobil a.s.

Vážení přátelé.

Velice mne znepokojil způsob, jakým společnost RadioMobil v současné době umožňuje tarifním a twist zákazníkům přístup k získání prvních čtyř číslic kódu PUK2. Domnívám se, že zvolený způsob, který spočívá v získání tohoto kódu prostřednictvím hlasového profilu infolinky T-Mobile, aniž by byla jakkoli jinak ověřena další oprávnění volajícího k přístupu k tomuto údaji, vystavuje uživatele Vašich služeb nepřiměřenému riziku. Toto nebezpečí dále zvyšuje fakt, že první čtyři číslice kódu PUK2 lze ze stejného telefonního čísla, není-li zákazník již registrován na t-zones, získat stejným způsobem i opakovaně bez žádných omezení.

Rád bych Vás upozornil, že zvolené řešení může vyvolat podezření z porušení Všeobecných podmínek společnosti RadioMobil a.s. ze strany RadioMobilu.

Odůvodnění :

  • Kód PUK2 dle poznámky pod čarou č. 2 Všeobecných podmínek je "číselný kód identifikující SIM kartu za účelem její registrace a ochrany". Článek, z jehož porušení může být RadioMobil podezírán, je v kapitole 4 "Práva a závazky RadioMobilu" a jedná se o článek 4.1.4, ve kterém se RadioMobil zavazuje "předat Účastníkovi či jeho zástupci veškeré informace o bezpečnostních kódech nezbytných k užívání Služeb, a to v zapečetěné obálce nebo doporučenou poštou do vlastních rukou na poslední známou adresu Účastníka." Pakliže by kód PUK2 sloužící k ochraně SIM karty měl být považován za bezpečnostní kód ve smyslu článku 4.1.4, mohlo by jeho sdělování prostřednictvím hlasového profilu infolinky T-Mobile být považováno za jednoznačné porušení uvedeného závazku společnosti RadioMobil.
  • Dovoluji si v této souvislosti zároveň upozornit na článek v kapitole 7 "Opatření proti zneužití Služeb", článek 7.5, na jehož základě je uživatel zavázán "chránit veškerá hesla a bezpečnostní kódy související s poskytovanými Službami." Za výše popsané situace dodržení tohoto závazku významně ztěžuje samotný operátor, který zavedeným opatřením naopak sám zvyšuje riziko zneužití kódu PUK2 uživatele.
  • Ve stejné kapitole upozorňuji rovněž na článek 7.2, na jehož základě je uživatel oprávněn podat žádost o vydání nové SIM karty také v případě "prozrazení kteréhokoliv z PUK kódů". Podle článku 7.1.4 je pak uživatel zavázán neprodleně informovat RadioMobil i o "důvodném podezření" z tohoto prozrazení. Na základě proběhlých testů bylo zjištěno, že k případnému získání prvních čtyř číslic kódu PUK2 pomocí hlasového profilu infolinky T-Mobile neoprávněnou osobou by tato osoba potřebovala zhruba dvě minuty času.
  • Důvodné podezření z prozrazení kódu PUK2 tedy může teoreticky vzniknout pokaždé, když uživatel ponechá zapnutý telefon bez dohledu na více než dvě minuty. Prakticky je poté uživatel oprávněn podat žádost o vydání nové SIM karty a zároveň požadovat, aby si RadioMobil za vydání nové SIM karty neúčtoval částku podle článku 7.2 Všeobecných podmínek s poukazem na výše uvedené podezření, že k prozrazení kódu PUK2 došlo v důsledku porušení článku 4.1.4 Všeobecných podmínek ze strany RadioMobilu.

Závěrem si dovoluji poznamenat, že zvolené řešení registrace na t-zones (dříve click) považuji od počátku za velmi nevhodné právě proto, že registraci v prostředí internetu, jehož bezpečnost je a pravděpodobně vždy bude limitována, podmiňuje zadáváním části kódu, který unikátně identifikuje SIM kartu a jehož ochrana podléhá závaznému režimu upravenému v citovaných článcích Všeobecných podmínek. Pakliže se již společnost RadioMobil pro takovéto řešení rozhodla, v žádném případě ji to neopravňuje vytvářet pro kód PUK2 jakýsi zvláštní status, který není upraven ve Všeobecných podmínkách, naopak může být s těmito Všeobecnými podmínkami v rozporu.

Na základě výše uvedeného, v zájmu bezpečnosti uživatelů, v zájmu jednoznačného výkladu Všeobecných podmínek a pro vyloučení veškerých pochybností či případných pozdějších nedorozumění, navrhuji, aby položka "pro zjištění kódu PUK2" byla z hlasového profilu infolinky T-Mobile úplně odstraněna.

S pozdravem

Roman Joura
http://tmo.webpark.cz

 

Vážený pane Jouro,

děkujeme Vám za Vaši e-mailovou zprávu ze dne 19. února 2003, ve které nás informujete o možném riziku zneužití počátečního čtyřčíslí kódu PUK 2. K Vašim připomínkám či návrhům bychom rádi uvedli následující :

Úvodem, prosím, přijměte informaci, že k opatření, kterým jsme zajistili dostupnost prvních čtyř číslic kódu PUK 2 na Hlasovém profilu, jsme přistoupili ve snaze zjednodušit přístup zákazníků sítě T-Mobile k portálu t-zones, a tím i k široké škále dalších služeb.

V Hlasovém profilu sítě T-Mobile sdělujeme pouze počáteční část kódu PUK 2 (nikoli celý, osmimístný kód), který se vztahuje k SIM kartě, z níž zákazník volá, a to pouze v případě, že k této kartě ještě není na portálu t-zones zaregistrován uživatelský účet. Dle našeho názoru tento postup není v rozporu se Všeobecnými podmínkami společnosti RadioMobil a.s., konkrétně s Vámi zmiňovaným článkem 4.1.4, který stanoví, že "RadioMobil se zavazuje předat Účastníkovi či jeho zástupci veškeré informace o bezpečnostních kódech nezbytných k užívání služeb, a to v zapečetěné obálce nebo doporučenou poštou do vlastních rukou na poslední známou adresu Účastníka." Tento článek totiž stanoví pravidla pouze pro první předání informací o bezpečnostních kódech nezbytných k užívání služeb (ke kterému zpravidla dochází při uzavření Účastnické smlouvy), nikoli pro každé další předávání těchto informací, která mohou následovat po prvním předání. Sdělení prvních čtyř čísel kódu PUK 2 prostřednictvím Hlasového profilu nikdy není prvním sdělením tohoto kódu (tím je předání dokumentace k SIM kartě).

Pokud se týče článku 7.1.4 Všeobecných podmínek, který mj. stanoví, že "Účastník se zavazuje po celou dobu trvání Účastnické smlouvy neprodleně informovat RadioMobil v případě důvodného podezření z prozrazení kteréhokoliv z PUK kódů", jsme přesvědčeni o tom, že jestliže - jak uvádíte ve svém dopise - uživatel ponechá zapnutý telefon bez dohledu více než dvě minuty, nepůjde vždy o důvodné podezření z prozrazení kódu PUK 2 a účastník tedy nebude vždy povinen plnit informační povinnost dle článku 7.1.4 Všeobecných podmínek. Tuto informační povinnost by bylo dle našeho názoru v daném případě nutno splnit pouze za situace, kdy by podezření z prozrazení kódu PUK 2 bylo podloženo konkrétními zjištěními (např. v případě, že oprávněný uživatel si na Infolince ověří, že z jeho mobilního telefonu bylo voláno za účelem získání informace o prvních čtyřech číslech kódu PUK 2).

Chceme Vás ujistit, že nám velmi záleží na názorech zákazníků o našich službách. Přestože jsme přesvědčeni o tom, že způsob sdělování prvních čtyř čísel bezpečnostního kódu PUK 2 nebyl v rozporu se Všeobecnými podmínkami společnosti RadioMobil a.s., rozhodli jsme se přistoupit k odstranění části Hlasového profilu s informací o prvním čtyřčíslí kódu PUK2. Nyní lze zmíněný údaj získat prostřednictvím operátora, po zadání hesla pro komunikaci.

Twist zákazníkům zůstává tato funkcionalita Hlasového profilu nezměněna. Volání z Twist SIM karty, ke které zákazník požaduje sdělení kódu PUK 2 nebo jeho části, nelze považovat za neoprávněné či neautorizované. Z anonymní povahy předplacené služby Twist vyplývá, že nemáme k dispozici žádné údaje o totožnosti zákazníků, neboť tento okruh zákazníků neuzavřel s naší společností řádnou písemnou smlouvu o poskytování služeb, v níž by tyto údaje byly obsaženy. Proto je v případě držitele SIM karty - uživatele předplacené služby Twist - autorizace pro zjištění kódu PUK 2 zcela totožná v Hlasovém profilu i při spojení s operátorem Infolinky.

Věříme, že se nám podařilo poskytnout Vám všechny důležité informace a těšíme se na Vaše další podněty a dotazy.

S přátelským pozdravem

RadioMobil a.s.
Lenka Gobyová
Oddělení péče o zákazníky

 

Vážená paní Gobyová.

Velmi pěkně Vám děkuji za zprávu. Zaznamenal jsem, že RadioMobil prakticky neprodleně přijal opatření, kterým odstranil pochybnost popsanou v mém předchozím dopisu u tarifních zákazníků. V souvislosti s přijatým opatřením i s Vaším vyjádřením bych rád uvedl následující.

Co se týče sdělování kódu PUK2 prostřednictvím hlasového profilu infolinky T-Mobile u Twist zákazníků, podle mého názoru zde mohou vzniknout pochybnosti o dodržování Všeobecných podmínek ze strany RadioMobilu ve stejné míře, jako tomu bylo u tarifních zákazníků, tedy týkající se stejného článku 4.1.4. Smluvní vztah s Twist zákazníky upravuje především kapitola 16. Všeobecných podmínek "Podmínky pro poskytování předplacených služeb", která v článku 16.6. stanoví, že "obsah Účastnické smlouvy o poskytování předplacených služeb je dán Všeobecnými podmínkami společnosti RadioMobil s výjimkou jednotlivých ustanovení těchto Všeobecných podmínek, která s ohledem na povahu předplacené Služby nelze použít (např. jednotlivá ustanovení čl. 2, 5, 6, 7, 14) a Ceníkem služeb."

Povaha předplacené služby pochopitelně vylučuje závazek RadioMobilu předat Účastníkovi informace o bezpečnostních kódech doporučenou poštou do vlastních rukou, nevylučuje však první možnost uvedenou v článku 4.1.4. předat tyto informace v zapečetěné obálce. Tak se ostatně v praxi děje a zájemci o předplacenou službu dostávají tyto informace v dokumentaci k SIM kartě stejným způsobem, jako zájemci o tarifní program.

Dovoluji si zároveň upozornit, že Všeobecné podmínky vymezují také postup v případě postoupení Twist karty třetí osobě a v článku 16.3. stanoví, že "v tomto případě se Účastník zavazuje seznámit třetí osobu s těmito Všeobecnými podmínkami, Ceníkem služeb a bezpečnostními kódy vztahujícími se k předplacené SIM kartě." Za předpokladu, že všechny zainteresované strany dodržují Všeobecné podmínky, má tedy osoba, která předplacenou Twist kartu používá oprávněně, vždy k dispozici všechny informace o bezpečnostních kódech včetně kódu PUK2.

Vzhledem k výše uvedenému se domnívám, že pokud mají být odstraněny veškeré pochybnosti ohledně dodržování Všeobecných podmínek, informace o prvních čtyřech číslicích kódu PUK2 by neměla figurovat v nabídce hlasového profilu infolinky T-Mobile ani u předplacených karet Twist.

K Vašemu výkladu "předání informací“ podle článku 4.1.4. jako „pouze prvního předání" bych jen stručně poznamenal, že pokud by RadioMobil skutečně uplatňoval tuto interpretaci v praxi, znamenalo by to, že po prvním předání bezpečnostních kódů by mohl dále tyto kódy, včetně všech kódů PIN a PUK, předávat libovolným způsobem (zatímco účastník je zavázán tyto kódy chránit). Pakliže závazek v článku 4.1.4. předat tyto informace „v zapečetěné obálce nebo doporučenou poštou do vlastních rukou“ lze chápat jako závazek, že RadioMobil bude předávat tyto informace způsobem, který dostatečně zajistí ochranu těchto kódů, pak by aplikování Vaší interpretace zbavilo článek 4.1.4. smyslu.

S Vaším vysvětlením "důvodného podezření z prozrazení kteréhokoliv z PUK kódů" zcela souhlasím, k důvodnému podezření by účastník měl mít konkrétní podklad.

Na závěr bych si dovolil ještě upozornit na problém, který se v této souvislosti projevil a který již přímo nesouvisí s otázkou dodržování Všeobecných podmínek. Hlasový profil infolinky T-Mobile v současné době umožňuje tarifním zákazníkům získat bez ověření také několik dalších informací, jejichž charakter lze považovat za důvěrný.

V jednotlivých položkách služba umožňuje získat informaci o posledním vyúčtování, o aktuálním stavu bonus konta a dokonce měnit nastavení některých služeb.

Na základě informací, které jsem získal, RadioMobil v současné době zákazníkům nabízí volitelnou možnost zablokovat volný přístup k těmto položkám hlasového profilu a umožnit jej pouze po zadání hesla pro komunikaci s operátorem, které si každý zákazník mohl zvolit během uzavírání Účastnické smlouvy. Podle mého názoru by pro zvýšení ochrany účastníků bylo vhodnější, kdyby RadioMobil učinil opatření, která by podmiňovala přístup k těmto položkám zadáním hesla pro komunikaci automaticky u všech tarifních zákazníků, kteří toto heslo mají k dispozici.

S pozdravem

Roman Joura
České Budějovice, dne 3. března 2003
http://tmo.webpark.cz

Článek ze dne 6. března 2003 - čtvrtek

Konference SCADA SECURITY 2019