Oskar si totiž noedělá s ochranou osobních údajů svých zákazníků příliš těžkou hlavu a kdokoliv může naprosto jednoduše zjistit tarif pro libovolní číslo. Použijete k tomu „automat“ na tolik proklamované Oskarově samoobsluze. Ale již k věci – jak tarif zjistíte?
Stručný postup:
- Zavolejte číslo OskarLinky 0800 77 00 77 z libovolného telefonu – vyjma telefonů Oskara. Můžete tedy použít telefony Eurotel, Paegas ale i telefon pevný (pokud má tónovou volbu).
- Zadejte telefonní číslo osoby, kterou chcete prověřit. Číslo zadejte ve tvaru 0608 123456 nebo 077 1234567.
- Vyberte 1 pro češtinu (nebo 2 pro angličtinu).
- Ignorujte nabídku na Oskarovy novinky (tj. nemačkejte nic).
- Automat začne přeříkávat hlavní nabídku. Pokud uslyšíte na samém počátku nabídku na „dobití vašeho účtu a informace o tom, kde lze zakoupit dobíjecí kupóny“, vlastní uživatel Oskartu – zjišťování tímto končí. Pokud nikoliv, pokračujte dále.
- Zvolte v menu 4 „Informace o tarifech“ a následně 2 pro „Informace o ostatních tarifech“. Klíč je právě v tom slově „Ostatních“. Automat vám následně vyjmenuje čtyři tarify z Oskarovy nabídky. Oskar ale standardně nabízí tarifů pět. Tím pátým tarifem, která vám automat nevyjmenuje, je právě ten tarif, který uživatel má! Například – pokud v nabídce uslyšíte tarify Volám málo, Volám stále, Slyším vás a Dohoda s Oskarem, účastník má zbývající tarif – Volám často. Pokud náhodou uslyšíte v nabídce všech pět tarifů, potom je uživatel nejspíše zaměstnancem Oskara a má zaměstnanecký tarif.
Zbývá dodat, že tento postup jsem úspěšně vyzkoušel i na číslech firemních zákazníků.
Jako řešení tohoto problému z pohledu Oskara by bylo velice jednoduché – stačilo by za všech okolností jmenovat všechny tarify ze standardní nabídky. Jinou možností by bylo si vyžádat před vyjmenováním uživatelovo heslo.
Praktické využití
Myslím si, že tento problém má i praktické využití. Můžete si například zjistit „movitost“ vašich obchodních partnerů. Pokud zjistíte, že mají tarif Slyším Vás nebo Volám Málo, asi nepatří mezi uživatele, kteří si slastí mobilní komunikace užívají plnými doušky. Naopak u uživatelů Dohody s Oskarem, kteří se uvázali na dobu tří nebo čtyř let, lze očekávat, že své podnikání nepovažují za krátkodobou záležitost.
Doporučuji si ale pospíšit, neboť Český Mobil se pokusí nejspíše s tímto problémem něco udělat.
Porušení zákona?
Tento bezpečností incident byl před 14ti dny mailem komunikován s oficiálními představiteli Českého Mobilu – konkrétně s viceprezidentem pro Customer Care a IT panem Fredem Hrenchukem. Dostal jsem pouze velmi obecnou a nic neříkající odpověď od Roberta Devriese. Na opakovanou žádost od vysvětlení (a odstranění) již nereagoval nikdo.
Tímto chováním se bohužel Oskar zařazuje do řady obou ostatních operátorů, kteří systematicky uživatele přehlíží s pocitem, že oni přeci nejlépe vědí, co uživatel potřebuje.
Oživeno: Volné zpřístupnění informace o uživatelově tarifu je podle mého laického názoru v rozporu s obecnými etickými principy.
Problém v širším měřítku
Problém je ale v tom, že Oddělení péče o zákazníky je na tom s bezpečnostní poněkud „na štíru“ v širším měřítku. Tuto bezpečnostní „díru“ technici dokáží jistě poměrně snadno napravit, ovšem Oskar by měl z gruntu revidovat celou svojí bezpečnostní politiku. A měl by to udělat co nejdříve – čím déle to bude odkládat, tím větší náklady i tato revize vyžádá.
První problém je v tom, že Oskar standardně nabízí zákazníkům použití 4místného číselného hesla, což nevytváří zrovna mimořádně bezpečné prostředí. Uživatelé mají možnost si zvolit sice 6místné číselné heslo, ale ani to není mnoho. Na takto krátkých heslech lze poměrně snadno uplatnit útok zvaný „social engineering“, který spočívá v zkoušení jednoduchých „pěkných“ kombinací. Pokud by si tedy někdo dostatečně zlomyslný vybral řadu čísel Oskarových zákazníků a začal zkoušet hesla 1234, 4321, 2580, 1111, 2000 a podobně, u mnoha uživatelů by se mu podařilo k účtu přistoupit. Zlomyslná osoba by potom mohla uživatelům aktivovat nějaké zpoplatněné služby (nebo jiné deaktivovat).
Druhý problém s tímto dosti úzce souvisí. Týká se toho, za jakých okolností mohou operátoři na Infolince uživateli prozradit svoje heslo v případě, že jej zapomene. Podle oficiálních procedur pro zaměstnace, které jsou pro operátory infolinky závazné, mají tuto možnost po ověření adresy, rodného čísla a čísla občanského průkazu. To ale ani zdaleka není dostatečné – jen se zamyslete, kolik lidí tyto informace zná. Jako optimální se mi v takovém případě jeví zaslání hesla uživateli poštou v doporučené zásilce do vlastních rukou.
Pokud porovnáme úroveň bezpečnosti u jednotlivých operátorů, Oskar z toho vychází bohužel z daleka nejhůře. Oskarova přívětivost k uživatelům je nanejvýš chvályhodná, ale ve chvíli, kdy je jejich soukromí potenciálně narušeno je třeba také znát míru.
Oživeno: Bohužel, podle posledních informací Oskara, se má věc trošku jinak. Autor článku totiž nekontaktoval Oskara jako novinář, ale pouze jako běžný zákazník, a navíc jeho e-maily nevyjadřovaly přesně podstatu věci - nebyly tedy Oskarem (v článku vyjmenovanými osobami) správně pochopeny. A článek byl zveřejněn právě proto, že Oskar odmítl na autorovu žádost o nápravu chyby reagovat (což ostatně nemohl, neboť netušil, o co kráčí). Během odpoledne bychom měli mít k celému tématu stanovisko tiskového mluvčího Oskara.
