Telegram otkriva: Ogroman sigurnosni propust HEP-ove aplikacije, cijela država mogla vidjeti tko nije platio plin
Izgleda da je HEP, nakon našeg današnjeg upita, hitno krenuo spašavati stvar. Aplikacija je nakon dva sata ažurirana
Nakon HEP-ove afere s bagatelnom prodajom plina, ovoj državnoj tvrtki dogodio se još jedan problem – osobni podaci korisnika njihove aplikacije HEP Plin određeno su vrijeme, zbog teškog sigurnosnog propusta, bili javno dostupni, doznaje Telegram.
Naime, korisnici spomenute aplikacije, putem koje se provjeravaju računi za plin, mogli su vrlo lako doći do imena, adrese, OIB-a i, primjerice, iznosa dugovanja građana koji također koriste istu HEP-ovu usluge. Na ovaj sigurnosni problem Telegramu je skrenuo pozornost gospodin iz Osijeka (podaci poznati redakciji op.a.) koji radi u IT sektoru te je u više navrata sudjelovao u izradi aplikacija i njihove sigurnosne infrastrukture.
Kako je ispričao za Telegram, prije koji tjedan stigla mu je obavijest o pokretanju ovrhe za neplaćeni račun za plin za ožujak. U službenoj aplikaciji HEP-a, HEP Plin, pokušao je provjeriti stanje s plaćanjem računa. Za provjeru je potreban OIB korisnika te broj obračunskog mjernog mjesta, a radi se o podacima koji se mogu pronaći na bilo kojem HEP-ovom računu za plin.
‘Raspakirao’ aplikaciju
No, aplikacija nije radila pa je odlučio provjeriti što se događa s njom. “Imam Android sustav na mobitelu i sve upute za provjeru ovakvih stvari se mogu pronaći na internetu. Moram naglasiti da ne funkcionira svaka metoda na svakom telefonu.
Uspio sam ‘raspakirati’ samu aplikaciju i našao sam nekoliko problematičnih stavki iz kojih proizlazi da su svi javni podaci korisnika potpuno nezaštićeni te da bi do njih mogao doći bilo tko s osnovnim programerskim znanjem”, govori gospodin za Telegram.
Podaci kod treće strane
Prva loša stvar koju je uočio bio je programski kod koji je bio dostupan u gotovo izvornom obliku. “Za Android uređaje upotrebljava se Java ili Kotlin programski jezik, a oni se prevode u niz instrukcija koji se dalje izvršavaju na nekom uređaju. Izvođač prilikom prevođenja programskog koda nije prikrio sam kod”, tumači.
Nakon toga uočio je da korisnički podaci nisu na serverima HEP-a, već kod treće strane, tvrtke Globaldizajn. “To je teško kršenje GDPR-a i nešto zbog čega je Facebook dobio kaznu od 1,2 milijardi dolara. Uostalom, zašto nigdje u politici privatnosti nije navedeno da su moji podaci kod treće strane?”, pita se gospodin iz Osijeka.
‘Ništa nije zaštićeno’
Priča kako je uz još malo kopanja po programskom kodu došao i do pune adrese odakle HEP-ova aplikacija dohvaća podatke te su mu ubrzo nakon toga bili dostupni svi podaci ostalih korisnika aplikacije, poput OIB-a, adrese, uplata, stanja brojila i dugovanja. To je potkrijepio i snimkom zaslona na kojem se vide podaci jedne tvrtke iz Bilja.
“S obzirom na to da je jedina ‘zaštita’ osobnih podataka drugih korisnika HEP-ovih usluga zapravo kombinacija broja obračunskog mjesta i OIB-a, smatram da podaci uopće nisu zaštićeni i moguće je vrlo jednostavno napisati skriptu koja će prolaziti redom sve OIB-e i brojeve obračunskog mjesta. Sama činjenica da se može doći do bilo čijeg računa poznavanjem broja trošila i OIB-a, što je pak nešto što piše na računu kojeg netko može iskopati iz smeća, poprilično je zabrinjavajuća”, govori gospodin za Telegram.
‘Ovo je ozbiljan propust’
Ističe i kako sam server odaje previše informacija, što omogućava da se vrlo jednostavno upadne u HEP-ovu aplikaciju i izvuku podaci korisnika. Pita se i je li prije puštanja aplikacije napravljen penetracijski test, postupak kojim se provjeravaju koje je još propuste unutar aplikacije potrebno srediti.
“U svom poslu se često susrećem sa sigurnosnom provjerom aplikacija, osobito kod onih gdje su dostupni osobni podaci korisnika. Ovo sve ukazuje da je napravljen ozbiljan propust”, tvrdi. S njim se slažu i informatički stručnjaci s kojima je Telegram provjerio gospodinove tvrdnje. Stručnjaci također kažu kako se ne radi o konkretnom curenju podataka, ali da je problematično što je dio informacija bio javno dostupan.
Prešutna reakcija HEP-a
Telegram je poslao upit HEP-u i AZOP-u te zatražio njihovo očitovanje o ovom slučaju. HEP smo pitali imaju li saznanja da se preko aplikacije HEP Plin može doći do podataka ostalih korisnika te smatraju li da su podaci korisnika bili dovoljno zaštićeni. Pitali smo ih ima li tvrtka Globaldizajn dopuštenje da se podaci korisnika nalaze na njihovim serverima te je li napravljen penetracijski tekst kako bi se provjerilo jesu li podaci korisnika zaštićeni.
AZOP smo pak pitali je li HEP na bilo koji način, s obzirom na sve što je Telegramu iznio gospodin iz Osijeka, napravio prekršaj te smiju li podaci HEP-a biti na serverima treće strane, odnosno tvrtke Globaldizajn. Odgovore AZOP-a i HEP-a nismo dobili do objave ovog teksta, a objavit ćemo ih kad pristignu.
Također ćemo naglasiti da nakon što smo poslali upit HEP-u, danas u 11.25 sati, više se ne može doći do izlista pojedinih podataka korisnika. Kada se pokuša otvoriti javlja poruku “Greška prilikom autorizacije”, a više ne radi niti aplikacija “HEP Plin”. Na stranici za preuzimanje aplikacije za mobitele s Android sustavom, Google Play, navodi se da je posljednje ažuriranje aplikacije napravljeno upravo danas, 10. srpnja, a nova verzija puštena je u 13.21, što upućuje da je HEP nakon Telegramovog upita očito prionuo rješavanju ovog problema.
