HARD CORE SECURITY LAB

Portal Wirtualna Polska zamknął lukę w swym serwisie poczty elektronicznej poczta.wp.pl. Przypomnijmy, że błąd projektowy pozwalał potencjalnemu intruzowi na przechwycenie danych logowania (nazwy użytkownika oraz hasła) należących do użytkowników tej popularnej usługi pocztowej. Problem ten wynikał z nieodpowiedniego zabezpieczenia (braku szyfrowania) procesu zmiany hasła.

Trzeba przyznać, że administracja WP poważnie potraktowała (chociaż nie otrzymałem od WP żadnej odpowiedzi na moje zgłoszenie problemu) nasze wczorajsze doniesienia o zagrożeniu związanym z użytkowaniem serwisu poczta.wp.pl i jeszcze tego samego dnia wprowadziła szyfrowanie procesu zmiany hasła użytkownika.
Niestety, okazuje się, że podobny błąd (brak szyfrowania komunikacji w trakcie procesu zmiany hasła użytkownika) obecny jest również w serwisie poczta.o2.pl. Użytkownikom tej usługi pozostaje więc oczekiwanie na podjęcie odpowiednich kroków przez administrację portalu O2.pl.

[Aktualizacja, 24.02.2010, 21:00]
Około godziny 13:00, pan Piotr Jan Prószyński z Grupy o2 Spółka z o.o. poinformował mnie e-mailowo o następujących faktach:

w nawiązaniu do artykułu który ukazał się w Pana serwisie pod linkiem: http://www.hcsl.pl/2010/02/wirtualna-polska-zamknea-luke-w.html informuję, że dziś (24.02.2010) w godzinach  rannych wymusiliśmy użycie połączenia szyfrowanego w czasie zmiany hasła przez naszych użytkowników. Informacja na ten temat dostępna jest na stronie http://poczta.o2.pl/

Użytkownicy serwisu poczta.o2.pl doczekali się więc również szyfrowania procesu zmiany hasła. W menu Opcje pojawiła się w związku z tym funkcja bezpiecznej zmiany hasła:
Skorzystanie z powyższego odnośnika powoduje przejście do szyfrowanego formularza zmiany hasła:
Podsumowując całą sprawę, warto podkreślić, że oba serwisy (Wirtualna Polska oraz O2.pl) zareagowały na wczorajsze doniesienia błyskawicznie, co jest oczywiście godne pochwały. Nadal trudno jednak zrozumieć to, jak mogło dość do  przeoczenie tak oczywistego błędu w mechanizmach ochrony danych dostępowych użytkowników korzystających z obu (renomowanych przecież) serwisów...

[Aktualizacja, 26.02.2010, 10:00]
Pan Rafał Roppel, Koordynator Grupy Rozwoju Aplikacji i Usług Portalowych reprezentujący firmę Wirtualna Polska S.A., napisał do mnie wczoraj w sprawie poruszonych przez HCSL problemów w zabezpieczeniach serwisu poczta.wp.pl:

w odpowiedzi na Państwa artykuł, chciałbym poinformować, że wskazany przez Państwa problem został wyeliminowany w ciągu dwóch godzin od jego zgłoszenia.
Chciałbym także podkreślić, że waga jego oddziaływania nie była duża i stanowiła swego rodzaju „pozostałość”
z czasów, kiedy nie wszystkie przeglądarki dobrze wspierały SSL.
W każdym razie natychmiast zmieniliśmy to rozwiązanie.
Dokładamy wielu starań, by podnosić poziom bezpieczeństwa Poczty WP, np. ostatnio przez wdrożenie antyphishingowego
programu WPTrusted, ale każda uwaga od Państwa jest i będzie dla nas bardzo cenna.