neprihlásený Nedeľa, 28. februára 2021, dnes má meniny Zlatica
Západoslovenská energetika vystrašila zákazníkov emailom, kvôli Heartbleed

Značky: bezpečnosťInternetSlovenskoHeartbleed

DSL.sk, 3.6.2014


Skupina Západoslovenská energetika, ZSE, najväčší dodávateľ elektrickej energie na Slovensku, uplynulý týždeň rozoslala plošne zákazníkom svojej služby ElektroWeb email odporúčajúci zákazníkom zmeniť ich heslo.

Email, na ktorý server DSL.sk upozornili čitatelia, bol ale problematicky formulovaný, keď vôbec neuvádza konkrétne príčiny potreby zmeny hesla a naopak obsahuje neurčité respektíve podozrivé formulácie ako "Váš účet (sme) viac zabezpečili proti zneužitiu" a "Doteraz sme nezaznamenali žiadne zneužitie portálu". Závažnosť oznámenia a incidentu, na základe ktorého bol email rozoslaný, tak nemohli posúdiť ani technicky zdatní užívatelia

"Hlavným dôvodom tejto notifikácie bola pred nedávnom ohlásená zraniteľnosť Heartbleed, ktorou bola zasiahnutá knižnica OpenSSL," uviedol pre DSL.sk Ján Orlovský, hovorca skupiny ZSE.

Zraniteľnosť Heartbleed zverejnená na začiatku apríla, o ktorej sme detailne informovali napríklad v tomto článku, potenciálne umožňuje z web servera používajúceho pre poskytovanie zabezpečených HTTPS stránok zraniteľnú knižnicu OpenSSL kradnutie prihlasovacích údajov užívateľov prihlasujúcich sa k rovnakému serveru a potenciálne aj získavanie ďalších dát z databázy.


Email rozoslaný zákazníkom služby ElektroWeb



V súčasnosti je na portáli, ktorý zákazníkom ZSE sprístupňuje dáta o ich odbere elektrickej energie a faktúrach ale umožňuje tiež napríklad meniť sumu plateného preddavku, nahlasovať stav elektromera a vykonávať ďalšie aktívne činnosti, podľa Orlovského už inštalovaná aktualizovaná knižnica OpenSSL.

ZSE ale zatiaľ neodpovedala na doplňujúce otázky kedy bola zraniteľnosť odstránená a či spoločnosť registruje aj útoky snažiace sa túto zraniteľnosť zneužiť a dopady zraniteľnosti tak nie je možné v súčasnosti plne posúdiť.

Bezpečným postupom od zákazníkov v súčasnosti je tak minimálne preventívne si heslo na ElektroWeb zmeniť. Popis postupu zmeny hesla je možné nájsť na elektroweb.sk/EWMain/zmena-hesla.


      Zdieľaj na Twitteri



Najnovšie články:

Satelitné TV vysielanie je v týchto dňoch rušené Slnkom
Ďalšie Starlink satelity má SpaceX vyniesť v noci na pondelok
Helikoptéra na Marse beží na Linuxe
NASA zverejnila detailnú panorámu okolia Perseverance na Marse
Google použil svoj podmorský kábel na detekciu zemetrasení
Posledná verzia Windows 10 dosiahla 20%
Ohlásená prvá SD Express karta
Google bude platiť dvoch vývojárov pracujúcich len na bezpečnosti linuxového jadra
HP kupuje časť HyperX
Samsung uvedie notebook s vlastným ARM procesorom


Diskusia:
                               
 

velmi nevidim problem v tom maile. napriklad mohli vyhodit AD admina :) to ze nedoslo k zneuzitiu neznamena, ze u niekoho nezelaneho nie su hesla...
Odpovedať Známka: 1.1 Hodnotiť:
 

Co by mal mat s tym spolocne vyhodeny admin?
Sa mi paci paticka mailu: "Tato sprava je urcena vylucne jej adresatovi" v kontexte s jej zverejnenim :)
Odpovedať Známka: 9.1 Hodnotiť:
 

Toto je nesprávna interpretácia titulku. Ako vážna je situácia zatiaľ nie je známe, keď ZSE na dôležité doplňujúce otázky zatiaľ neodpovedala. Problémom emailu nie je, že vyzerá vážnejšie ako je situácia, môže to byť aj naopak.

Problémom okrem iného je, akú má ten email podobu a že vôbec neinformuje prečo by si mali zákazníci meniť heslo. Treba si uvedomiť, že adresáti tohto emailu nemajú informáciu o Heartbleed ako príčine. Majú len to, čo vidíte v tej správe.
Odpovedať Známka: 1.7 Hodnotiť:
 

Mna ako zakaznika nejako velmi nezaujima dovod zmeny hesla. Ak by napisali, ze dovodom je Heartbleed, tak 80% ich zakaznikov by to nepovedalo nic. Dolezite je, ze reaguju a ze upozornuju na potrebu zmeny hesla. Rozposlanie takehoto mailu je lepsie ako nerozposlanie vobec.
Odpovedať Známka: 4.3 Hodnotiť:
 

Patrí sa, aby bola zverejnená aj informácia o presnej príčine kvôli transparentnosti. Aby si situáciu mohli zákazníci, ktorí sú tým postihnutí, vyhodnotiť. Samozrejme tak detailnú informáciu ako Heartbleed nebudú vyhodnocovať všetci zákazníci, tú možnosť ale mať musia.

Problém s týmto emailom navyše ale je, že on vôbec explicitne neinformuje o existencii akéhokoľvek bezpečnostného problému / incidentu.

Kvôli tomu vyzerá aj čudne a výrazne ako phishing, keď najskôr hovorí o nejakom zvýšení bezpečnosti a o tom, že je všetko v poriadku, a potom zrazu aby túto informáciu zákazníci brali vážne a zmenili si heslo...
Odpovedať Známka: 7.3 Hodnotiť:
 

presne. smutne priklad je ebay. na dsl.sk citam o potrebe zmenit heslo. a ebay mi posle mail az po 7 dnoch, ze je potrebne si zmenit heslo.
Odpovedať Známka: 10.0 Hodnotiť:
 

ano, je uplne normalny postup, ze pri probleme v SSL si musi a vsetci menit hesla. samozrejme nikto nic nehackol.
Odpovedať Známka: 2.5 Hodnotiť:
 

Čo urobili "zle" je to, že v maile napísali linku smerujúcu na stránku, kde sa má robiť niečo s heslom. To je do očí bijúce a to sa skrátka nerobí.
Odpovedať Známka: 6.7 Hodnotiť:
 

eletrika je to tolesita dopre se vichrali
Odpovedať Známka: -4.0 Hodnotiť:
 

aj joskoooo je dolešitý na dsl
Odpovedať Známka: -3.3 Hodnotiť:
 

ale toto vyzera ako vzorovy phishingovy email, ktory sa pod nejakym nezmyselnym dovodom snazi presvedcit usera, aby dakam klikol a potom tam dal svoje meno a heslo.
Presne takto to nemalo vyzerat. :-)
Odpovedať Známka: 9.4 Hodnotiť:
 

mne sa nepaci, ze v tom maile nie je uvedeny skutocny dovod, teda mozne zneuzitie zranitelnosti, ale ze tam je to napisane v duchu: vsetko je OK a aby bolo este viac OK, tak sme posilnili bezpecnost a vy pane, si mozte zmenit heslo, nie ? kruci, nahnevaju ma taketo falosne intrigy
Odpovedať Známka: 9.0 Hodnotiť:
 

Najhorsie je to, ze ked mi ten email dosiel, tak na pohlad mal vsetky znaky phishingu, tak som volal na ich linku a jedine co mi dokazali povedat je, ze vysiel interny predpis, ze maju zakaznikom poslat henten email, akoze ani sa neunuvali aspon laicky vysvetlit(kedze vacsina zakaznikov ani nevie co heartbleed alebo OpenSSL je), ze existovala bezpecnostna chyba v suvislosti s prihlasovanim na ich stranku, chyba bola odstranena a z tohto dovodu odporucaju zakaznikom zmenit heslo.
Odpovedať Známka: 6.7 Hodnotiť:
 

su ako v tej reklame na Velkopopovickeho kozla.....pivo ako kren, jenom ten vrchni je nejaky divny.....;-). Asi pred 1/2 rokom kvoli bezpocnosti zrusili moznost ulozit meno a heslo v prehliadaci, ako keby o nieco islo. Potencialny utocnik nemoze nic....preplatok ide na ucet, z ktoreho idu preddavky, a viac co? Ide o hovno, pixovina ako voda v kosi. Ten, kto to tam vymysla, je troska paranoidny.....do NSA s nim !! Hlavne, ze dlho ich web siel len na IE.....ziaden FF, ani Chrome.
Odpovedať Hodnotiť:
 

hm, HB bol problem len ZSE? SPP ci RWE nic? A co vlada, ta uz HB odstranila?
Odpovedať Hodnotiť:

Pridať komentár