EnaA in njihov katastrofalni sistem za odjavo od spam-a

Pa če imaš v emailu +, odjava ne deluje.
Primer: janez.kranjski+enaaspam@gmail.com

Sej plaintext passwordi o tud ful zabavni če ga "pozabiš" ;)

Sergio je 10. jul 2012 ob 08:45 izjavil:

Danes sem od EnaA dobil e-mail, v katerem me nagovarjajo za nakup določenih znižanih izdelkov.

Na dnu sporočila stoji tudi tole:

Odjava
Prizadevamo si, da vam posredujemo zanimive in uporabne informacije. Če jih iz kakršnegakoli razloga ne želite več prejemati, se lahko odjavite na tej strani.
Vse podatke o naročnikih skrbno varujemo skladno s sprejeto politiko zasebnosti in zakonodajo. V skladu s 73. členom ZVOP-1 lahko kadarkoli zahtevate, da vaše osebne podatke prenehamo uporabljati za namene neposrednega trženja. Iz našega naslova lahko prejemate več e-izdaj. Vsako naročilo, soglasje za prejemanje naše e-pošte ali sodelovanje v nagradnih igrah obravnavamo posebej in smo zato razvili tudi zanesljivo in varno programsko rešitev, ki omogoča ustrezno obvladovanje vseh teh podatkov skozi daljše časovno obdobje. Ročni posegi v seznam naročnikov zaradi varovanja vaše zasebnosti niso možni, zato prosimo, da odjavo izvedete sledeč zgornjemu navodilu.

Prosimo, da upoštevate, da morate v primeru, da našo pošto v vaš e-nabiralnik prejemate preko posredovanja (redirekcija) z enega izmed vaših drugih e-naslovov, odjaviti tisti naslov, na katerega je naša pošta naslovljena. Zaradi specifičnosti poslovnega procesa in tehničnih omejitev je mogoče, da boste v 15 dneh od datuma vaše odjave še prejeli našo e-pošto, v primeru, da je bila e-pošta že poslana oziroma v fazi pošiljanja.

Vse fino in fajn, edino imam težavo: Na ta sporočila se NIKOLI nisem naročil, ta mejl sem tudi prvič dobil.

No, pa gremo v odjavo. Format URLja za odjavo od spama je sledeč:

http://www.enaa.com/odjavaEIzdajeMailin...

S preprostim klikom na sporočilo se odpre stran za dostop nastavitev pošiljanja elektronskih sporočil.

Stvar ne potrebuje gesla, ampak le elektronski naslov. V URL-ju ni bilo nobenega salta ali česarkoli podobnega.

To pomeni, da lahko enostavno poskusim z email naslovom, za katerega sumim, da je prijavljen v EnaA, in zvedel bom dvoje:

1) Ali ima ta uporabnik res račun na EnaA
2) Lahko ga naročim na ves možen EnaA spam

Varnostna luknja je ogromna. Ne morem verjeti, da si lahko tako "velika renomirana" štacuna kaj takega privošči.

Če to bere kakšen od EnaA adminov ali razvijalcev: Popravite napako, vzemite se v roke.

Moje izkušnje z EnaA :


ENAA spam
ENAA spam2
ENAA spam3
ENAA razočaranje
ENAA razočaranje2 - slike

V Gmailu jih daš na spam listo in rešeno...bo počasi tudi za vse ostale spam.

Na EnaA.com ničesar ne ignoriramo. Vesel bom, če se bo kdo od vas oglasil na naše kontaktne naslove ali pa na recimo crm@gambit.si, da smo bolj konkretni, tako da bomo lahko rešili njegovo težavo. Težavo z maili, ki ste jo tule objavili že rešujemo. O tem, ali kdo res dobiva spam in podobno, pa se ne morem tule pogovarjati, če niti ne vem za kateri e-naslov gre. Za vsak e-mail imamo točno evidentirano, kako in kdaj je prišel v naš seznam, tako da lahko damo konkretne odgovore in tudi zagovor samo, če vem za kateri e-naslov gre. Žal je pogosto tako, da marsikdo sodeluje v nagradni igri, potem pa na to "pozabi".
Upam, da ni preveč, če pričakujem, da v primeru, da je res prišlo do zlorabe, to čimprej javite na EnaA.com in nam s tem pomagate odkriti tistega, ki je zlorabo povzročil.

Na EnaA.com imam account.
Pred kratkim sem kupil SODIMM DDR3 RAMe
[3 * 2GB], ...

Spama od njih ne dobivam nič.

Je pa res, da ne sodelujem pri nobenih
nagradnih igrah, ...

Pri odpiranju account-a sem odkljukal,
da ne zelim prejemat nobenih obvestil ...,
oz. novic o ugodnih ponudbah, ...

Ponavadi kupujem na Ebay.de, preko Idealo.de,
Geizhals.at, ... Primerjam cene s SI ponudbo,
skalkuliram, in se odločim za nakup ...

Do zdaj [velja zame] so bila vsa narocila
iz EnaA.com, Mimovrste.com, ... sprovedena
b.p.

Tudi resevanje kake reklamacije kdaj,
je slo skozi b.p.

Me je pa npr. pred leti oreng "spamala" Secunia,
to pa zato, ker nisem odkljukal, da ne zelim
prejemat od njih novic ... -)

Ne spomnim se koliko časa nazaj si na mail dobil plaintext ob uporabi pozabljeno geslo, zdaj dobiš link =)

RockyS je 10. jul 2012 ob 08:47 izjavil:

Sej tudi mimovrste shranjuje gesla v plaintext obliki. Dokler se nič ne zgodi...

Tudi študentski servis jih shranjuje v plaintext (oz. mogoče zdaj ne več). Par let nazaj sem pozabil geslo in so mi na sms veselo poslali obstoječe geslo. Kar srh me spreleti ko pomislim kateri podatki so v njihovi bazi (bančni računi, davčne, EMŠO...) in da grejo tako stvar pisat taki nesposobneži...

Sicer je minilo šele 5 dni in ta napaka je manjša ranljivost, ki vpliva samo na prejemanje novic. Mene bi bolj skrbela XSS ranljivost v obliki http://www.enaa.com/odjavaEIzdajeMailin... (sicer ne dela v novejših brskalnikih).

O lol. Tole pa dobro deluje. Nakljucen email, v stiku ime.priimek@gmail.com od soseda in ga kar naenkrat na spam prijavis :)

Jaz ne vidim ničesar protizakonitega v temu, da se je iz novic možno odjavit brez prijave. Če pa ti ne veš na kater email naslov ti je prišel mail pa to ni problem Enaa.

Jaz vidim je možno le, da te kdorkoli odjavlja. Še vedno ne vidim kaj je tu nezakonitega in za informacijskega pooblaščenca.

Ja in potem dobiš po mailu link za potrditev za prijavo.

Ja v bistvu ga res ni in to je napaka. Poleg tega pa se da ugibat emaile, ki so prijavljeni na enaa. Res poredni enaa. Ampak sama stran še vedno ni sporna in bi bila uredu, če bi po mailu prišla potrditev za prijavo in odjavo.

Aljoša? A se hecate?

Pa res
Vidim, da lepo skrbijo za moje podatke

Zanimiva debata. Malo sem se odklopil na dopustu, pa so me sodelavci pričakali z "tale forum si pa obvezno poglej". Ja, slo-techovci ste nam v 13 letih delovanja enaA.com že večkrat pomagali. Praktično v vseh uspešnih primerih sodelovanja se je debata, ki je bila odprta na slo-tech forumu prenesla na mail crm@gambit.si (no ja, prej so bili to tudi drugi naslovi, vključno z mojim osebnim) in potem pogosto še v osebni kontakt, včasih tudi v oddajo naročila za kakšno storitev, svetovanje, test, .... A če se ne motim med tistimi, s katerimi smo sodelovali ni nikogar izmed teh, ki razpravljate na tej strani. Lakotnik29 sicer piše: "Nikar spet ne prodajaj megle. Pošiljat na crm@gambit.si je približno isto kot pošilljat na tramvaj komando v ljubljani. Been there, done that. Najprej dobiš par floskul, ko pa konkretna dejstva predstaviš pa niti odgovora več ni. Že podpisovanje z generičnim EnaA tim je posmeha vredno. Pa saj smo to že mel na točno tem forumu." Nekateri, ki so nam kaj primernega posredovali, vedo, da to ne drži. Ampak seveda, tisti se o tem ne pogovarjajo v tej debati.
Naj povem, kaj mene moti v tej dabati. Sergio je opozoril na to, da lahko z zamenjavo e-naslova v url-ju, ki ga prejmejo naročniki naših e-izdaj, preverite ali spremenite podatke še za kakšen drug naslov. Ali je zato moral url javno objaviti in nevarnost povečati? Po moje ne! Od nekoga, ki se resno ukvarja z varnostjo na internetu, kaj takega ne pričakujem. Če bi bila njegova želja le to, da na EnaA.com zadevo odpravimo bi lahko zadevo objavil drugače, ali pa se obrnil direktno na nas.
Vsekakor pa smo objavo vzeli resno. Niti dve uri kasneje so se name obrnili sodelavci iz razvoja, povedali, kaj se dogaja ter da bo potrebno narediti popravek. Še vedno nista minili niti dve uri od objave, ko sem se za opozorilo zahvalil.
Tri dni kasneje se v debato vključi Tilen in pove, da vse lepo in prav, ampak on dobiva sporočila, na katera se ni nikoli naročil. Spet zelo hitro, torej prej kot v treh urah, objavim odgovor, povem, da slo-techovce zagotovo ne ignoriramo in Tilna ter ostale povabim, da pošljejo več info na crm@gambit.si. Tilen do danes vprašanja, kako je prišel na listo prejemnikov naših e-izdaj na crm@gambit.si ni poslal. Spomnil pa se je na informacijskega pooblaščenca.
Tilen potem dva dni kasneje spet sproži debato, ali naj se mi vključi reminder. Še nekaj dni kasneje me sprašuje, ali se hecam(Glede na to, da me vika, predvidevam, da ve, kdo sem, jaz žal ne vem, kdo je on). O čemu se hecam, kakšen reminder. Dve uri po prejemu smo objavili zahvalo za opozorilo, iz česar jasno izhaja, da zadevo rešujemo.
Torej, res me zanima, zakaj menite, da s prijavo informacijskemu pooblaščencu in objavo url naslova, ki omogoča zlorabo podatkov (pazite: omogoča!), kakorkoli pomagate enaA.com? Mislite, da je potreben pristisk na nas zato, da je stvar malo bolj adrenalinska ali samo zato, da se bomo sploh premaknili. Ali naj verjamem mojim razvijalcem, ki jih poznam, nadzornikom, ki skladno z ISO standardi skrbijo za nadzor nad našo informacijsko varnostjo ali Tilnu, ki ga ne poznam? Ali pričakujete, da bomo na teh straneh javno razglašali, kako skrbimo za varnost, katere rešitve uporabljamo, kje imamo luknje, .... Oprostite, varnost jemljemo precej bolj resno! Tudi zato, ker za varnost vaših podatkov odgovarjamo mi.
Mogoče se bo komu zdelo, da ta Aljoša spet ni odgovoril in da kar piše neke floskule.

@Aljoša

Zaposleni ste obveščeni in vaša odgovornost do naših osebnih podatkov je, da jih zaščitite. Nehajte nas že preusmerjat na crm@gambit.si, ker očitno le prelagate delo in odgovornost. Aljoša, Če prav razumem vaš odgovor, ste v crm@gambit.si psevdonimu ravno vi, tako da mi je vaše početje še toliko manj razumljivo. Če se vam gre le za KPI, si pa sami pošljite mail z linkom do te debate in je stvar rešena. Sami potrjujete, da niste samo vi obveščeni o tej napaki temveč tudi vaši sodelavci, kateri so vam po prihodu z oddiha prijazno posredovali povezavo, s katero ste bili seznanjeni že pred vašim odhodom.

> Na tem mestu lahko napišem le, da jih ne shranjujemo v clear-text načinu

To je laž. Ko mi pozabljeno geslo pošljete na email je tam vidno v clear-text. Kar pomeni da ga pri sebi hranite v obliki, ki omogoča povratni hashing in ne samo enosmernega, ki je osnova v industriji.

To pomeni, da kdorkoli pride do vaše baze in karkšnegakoli ključa že, dobi kar vsa gesla servirana na pladnju. Niti jih ne rabi crackat.

Kdorkoli vam razlaga osnove vaše varnosti pri geslih vas nateguje.

Aljoša: na varnostno pomanjkljivost glede shranjevanja gesel sem vas sam opozoril 18. junija 2012 preko vašega kontaktnega obrazca. Resda v obliki vprašanja, "nudge nudge poke poke".

Potrdili ste uporabo reverzibilnega (dvosmernega) kodirnega algoritma, ki že po definiciji ne more zagotavljati vsaj osnovne varnosti.

Mislim da sta dva meseca dovolj časa za odpravo napak.

Psst. Vse je po ISO. Samo ne ve se kaj tocno, po katerem ISO in v kaksnem obsegu.

@Aljoša - kot jaz razumem problem, ga tvoji razvijalci ne bodo mogli rešiti v enem dnevu, dveh, pa najbrž tudi ne v enem tednu (vsaj ne dokončno), ker se gre za globlji problem, ki je posledica same zasnove sistema.

Kljub temu, pa se mu zdi (ali pa ravno zaradi tega), da bi morali določeno problematično funkcionalnost začasno preprosto izključiti, dokler ne najdete ustrezne rešitve in odpravite težavo. V vmesnem času pa najti alternativni način (magar na roke), s katerim bi nadomestili izključeno funkcionalnost.

Če mi pipa v kopalnici pušča, bom zaprl ventil pred pipo in počakal, da pride mojster in zamenja ventil. Pri vas pa puščate pipo kapljati!

Ne gre se za to, ali se trudite ali ne. Verjamem da se trudite, vendar pristop ni pravi, če se gre za problem varnosti.

Gambit ima zagotovo v celoti implementiran vsaj ISO 27001.

Torej, res me zanima, zakaj menite, da s prijavo informacijskemu pooblaščencu in objavo url naslova, ki omogoča zlorabo podatkov (pazite: omogoča!), kakorkoli pomagate enaA.com?

Od kje tebi ideja oziroma zabloda, da je kdorkoli vam karkoli dolžan pomagat? V dveh mesecih niste sposobni zakrpat ogromne varnostne luknje, zraven pa še nabijate o ISO standardih. Mislim, da sem več kot dobro zadel to da se preko crm@gmabit.com dlje kot do puhlih floskul ne da prit. Drugače namreč tega, da ne samo ne odpravite varnostnih lukenj ampak jih celo zagovarjate ne znam razložit.

Namen izpostavljanja napak v vašem sistemu pa je v prvi vrsti to, da se uporabnike opozori na absurdne varnostne luknje, katastrofalen odnos do uporabnikov in splošno aroganco, ki smo jo deležni tudi na tem forumu. Za kakovost svojih storitev in odpravljanje varnostnih lukenj pa ste v prvem planu odgovorni sami. Vam pa z veseljem zagotovimo tudi podporo IP, če drugače ne bo šlo.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Z ISO standardi je podobno kot z vozniškim izpitom: to, da ga imaš, še ne pomeni, da si dober voznik!

Z njimi je tudi tako, da dokler ne poves kateremu sledis in pokazes certifikat, je to lahko karkoli. Ugibanje, da bi morda lahko slo za 27001, je se vedno samo ugibanje. Ce so pravi mojstri bodo pokazali certifikat.

Ce se slucajno izkaze, da se nekdo izmisljuje za tako enostavno in hkrati pomembno stvar in se (po domace receno) preserava s kraticami, potem se res lahko vprasam o cemu se tudi preserava.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Kaj ti nuca, če si v okviru ISO določil dežurnega krivca, če ta ni sposoben rešiti TEHNIČNI problem?

ISO standarda za dolocanje krivcev ni. Ravno tako "dezurni krivec" v splosnem ne rabi resevati tehnicnih problemov.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Kljub temu, pa bi pravilno implementirani ISO v podjetju moral imeti za posledico TAKOJŠNJO blokado problematičnih servisov.

Neumnost. Lahko imas zavarovalno polico, ki krije morebitno skodo, ce se tveganje uresnici.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Res ne vem, kaj bi enaa.com stalo, da bi začasno ukinili možnost avtomatiziranega prijavljanja in odjavljanja na reklamno pošto.

1) Ne bi pomagalo.
2) Ce se v procesu zanasajo izkljucno na avtomatizirano odjavljanje, potem bi zgolj blokada tega procesa pomenila takojsen prekrsek.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Sam core business zaradi tega nebi bistveno trpel - vsaj ne toliko, kolikor trpi sam ugled podjetja zaradi napačnega pristopa.

Ce recem na slepo, poslovanje EnaA.com zaradi tega ne trpi. Laiki nimajo pojma, nadzorni organi so edini, ki jih potencialno lahko po prstih. S-T in v splosnem strokovna javnost so samo obcasen nebodigatreba, ki pa obicajno nima kaksnih posledic na poslovanje.

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Ne vem, ali boste čakali toliko časa, da vam bo kakšen hacker dokazal, da se da vaše dobro znane pomanjkljivosti zlorabiti v velikem slogu? Boste izzivali srečo toliko časa, da boste na koncu morali tudi core business zaustaviti?

Odgovor za tiste, ki izkoriscajo "stanje na trgu" je (zal) se vec regulative - v tem primeru obvezno porocanje o vdorih (mandatory breach notification).

NeMeTko je 12. avg 2012 ob 15:58 izjavil:

Po moje se manjka nek inšpektor, ki bi izvajal nadzor nad temi rečmi in bi imel pravico odrediti takojšnjo zaustavitev spletne trgovine, če so ugotovljene bistvene varnostne pomanjkljivosti.

Ce je ogrozena varnost osebnih podatkov, je pravi naslov IP-RS. Glede na to, da je Aljosa negodoval nad prijavo inspektorju, ki mora ugotoviti dejansko stanje, si lahko mislim, da ta pisarna ocitno miga in jim povzroca dovolj stroskov, da so vsaj malo motivirani, da se v prihodnje izognejo njihovim uradnim zahtevam za pojasnila ali celo obiskom.