Západoslovenská energetika vystrašila zákazníkov emailom, kvôli Heartbleed

Značky: bezpečnosťInternetSlovenskoHeartbleed

DSL.sk, 3.6.2014

Skupina Západoslovenská energetika, ZSE, najväčší dodávateľ elektrickej energie na Slovensku, uplynulý týždeň rozoslala plošne zákazníkom svojej služby ElektroWeb email odporúčajúci zákazníkom zmeniť ich heslo.

Email, na ktorý server DSL.sk upozornili čitatelia, bol ale problematicky formulovaný, keď vôbec neuvádza konkrétne príčiny potreby zmeny hesla a naopak obsahuje neurčité respektíve podozrivé formulácie ako "Váš účet (sme) viac zabezpečili proti zneužitiu" a "Doteraz sme nezaznamenali žiadne zneužitie portálu". Závažnosť oznámenia a incidentu, na základe ktorého bol email rozoslaný, tak nemohli posúdiť ani technicky zdatní užívatelia

"Hlavným dôvodom tejto notifikácie bola pred nedávnom ohlásená zraniteľnosť Heartbleed, ktorou bola zasiahnutá knižnica OpenSSL," uviedol pre DSL.sk Ján Orlovský, hovorca skupiny ZSE.

Zraniteľnosť Heartbleed zverejnená na začiatku apríla, o ktorej sme detailne informovali napríklad v tomto článku, potenciálne umožňuje z web servera používajúceho pre poskytovanie zabezpečených HTTPS stránok zraniteľnú knižnicu OpenSSL kradnutie prihlasovacích údajov užívateľov prihlasujúcich sa k rovnakému serveru a potenciálne aj získavanie ďalších dát z databázy.

Email rozoslaný zákazníkom služby ElektroWeb

V súčasnosti je na portáli, ktorý zákazníkom ZSE sprístupňuje dáta o ich odbere elektrickej energie a faktúrach ale umožňuje tiež napríklad meniť sumu plateného preddavku, nahlasovať stav elektromera a vykonávať ďalšie aktívne činnosti, podľa Orlovského už inštalovaná aktualizovaná knižnica OpenSSL.

ZSE ale zatiaľ neodpovedala na doplňujúce otázky kedy bola zraniteľnosť odstránená a či spoločnosť registruje aj útoky snažiace sa túto zraniteľnosť zneužiť a dopady zraniteľnosti tak nie je možné v súčasnosti plne posúdiť.

Bezpečným postupom od zákazníkov v súčasnosti je tak minimálne preventívne si heslo na ElektroWeb zmeniť. Popis postupu zmeny hesla je možné nájsť na elektroweb.sk/EWMain/zmena-hesla.




Najnovšie články:



Diskusia:

problem? Od: robocop | Pridané: 3.6.2014 12:00 velmi nevidim problem v tom maile. napriklad mohli vyhodit AD admina :) to ze nedoslo k zneuzitiu neznamena, ze u niekoho nezelaneho nie su hesla... Odpovedať Známka: 1.1 Hodnotiť:

Re: problem? Od: Alt | Pridané: 3.6.2014 12:08 Co by mal mat s tym spolocne vyhodeny admin? Sa mi paci paticka mailu: "Tato sprava je urcena vylucne jej adresatovi" v kontexte s jej zverejnenim :) Odpovedať Známka: 9.1 Hodnotiť:

Re: problem? Od reg.: Redakcia DSL.sk | Pridané: 3.6.2014 13:23 Toto je nesprávna interpretácia titulku. Ako vážna je situácia zatiaľ nie je známe, keď ZSE na dôležité doplňujúce otázky zatiaľ neodpovedala. Problémom emailu nie je, že vyzerá vážnejšie ako je situácia, môže to byť aj naopak. Problémom okrem iného je, akú má ten email podobu a že vôbec neinformuje prečo by si mali zákazníci meniť heslo. Treba si uvedomiť, že adresáti tohto emailu nemajú informáciu o Heartbleed ako príčine. Majú len to, čo vidíte v tej správe. Odpovedať Známka: 1.7 Hodnotiť:

Re: problem? Od: Sloniiik | Pridané: 3.6.2014 14:54 Mna ako zakaznika nejako velmi nezaujima dovod zmeny hesla. Ak by napisali, ze dovodom je Heartbleed, tak 80% ich zakaznikov by to nepovedalo nic. Dolezite je, ze reaguju a ze upozornuju na potrebu zmeny hesla. Rozposlanie takehoto mailu je lepsie ako nerozposlanie vobec. Odpovedať Známka: 4.3 Hodnotiť:

Re: problem? Od reg.: Redakcia DSL.sk | Pridané: 3.6.2014 15:05 Patrí sa, aby bola zverejnená aj informácia o presnej príčine kvôli transparentnosti. Aby si situáciu mohli zákazníci, ktorí sú tým postihnutí, vyhodnotiť. Samozrejme tak detailnú informáciu ako Heartbleed nebudú vyhodnocovať všetci zákazníci, tú možnosť ale mať musia. Problém s týmto emailom navyše ale je, že on vôbec explicitne neinformuje o existencii akéhokoľvek bezpečnostného problému / incidentu. Kvôli tomu vyzerá aj čudne a výrazne ako phishing, keď najskôr hovorí o nejakom zvýšení bezpečnosti a o tom, že je všetko v poriadku, a potom zrazu aby túto informáciu zákazníci brali vážne a zmenili si heslo... Odpovedať Známka: 7.3 Hodnotiť:

Re: problem? Od: kalkulacka 365 | Pridané: 3.6.2014 17:36 presne. smutne priklad je ebay. na dsl.sk citam o potrebe zmenit heslo. a ebay mi posle mail az po 7 dnoch, ze je potrebne si zmenit heslo. Odpovedať Známka: 10.0 Hodnotiť:

to je uplne normalny postup Od: 'PPQ' | Pridané: 3.6.2014 12:06 ano, je uplne normalny postup, ze pri probleme v SSL si musi a vsetci menit hesla. samozrejme nikto nic nehackol. Odpovedať Známka: 2.5 Hodnotiť:

nemali tam dať link Od: sensei-san | Pridané: 3.6.2014 12:22 Čo urobili "zle" je to, že v maile napísali linku smerujúcu na stránku, kde sa má robiť niečo s heslom. To je do očí bijúce a to sa skrátka nerobí. Odpovedať Známka: 6.7 Hodnotiť:

Re: nemali tam dať link Od: joskoooo | Pridané: 3.6.2014 12:30 eletrika je to tolesita dopre se vichrali Odpovedať Známka: -4.0 Hodnotiť:

Re: nemali tam dať link Od: neiom | Pridané: 3.6.2014 13:01 aj joskoooo je dolešitý na dsl Odpovedať Známka: -3.3 Hodnotiť:

nic v zlom Od: wdsfasd | Pridané: 3.6.2014 13:17 ale toto vyzera ako vzorovy phishingovy email, ktory sa pod nejakym nezmyselnym dovodom snazi presvedcit usera, aby dakam klikol a potom tam dal svoje meno a heslo. Presne takto to nemalo vyzerat. :-) Odpovedať Známka: 9.4 Hodnotiť:

energrc Od reg.: sparta999 | Pridané: 3.6.2014 14:12 mne sa nepaci, ze v tom maile nie je uvedeny skutocny dovod, teda mozne zneuzitie zranitelnosti, ale ze tam je to napisane v duchu: vsetko je OK a aby bolo este viac OK, tak sme posilnili bezpecnost a vy pane, si mozte zmenit heslo, nie ? kruci, nahnevaju ma taketo falosne intrigy Odpovedať Známka: 9.0 Hodnotiť:

Re: energrc Od: Lukas1253 | Pridané: 3.6.2014 22:27 Najhorsie je to, ze ked mi ten email dosiel, tak na pohlad mal vsetky znaky phishingu, tak som volal na ich linku a jedine co mi dokazali povedat je, ze vysiel interny predpis, ze maju zakaznikom poslat henten email, akoze ani sa neunuvali aspon laicky vysvetlit(kedze vacsina zakaznikov ani nevie co heartbleed alebo OpenSSL je), ze existovala bezpecnostna chyba v suvislosti s prihlasovanim na ich stranku, chyba bola odstranena a z tohto dovodu odporucaju zakaznikom zmenit heslo. Odpovedať Známka: 6.7 Hodnotiť:

V ZSE Od reg.: durpalo | Pridané: 3.6.2014 21:56 su ako v tej reklame na Velkopopovickeho kozla.....pivo ako kren, jenom ten vrchni je nejaky divny.....;-). Asi pred 1/2 rokom kvoli bezpocnosti zrusili moznost ulozit meno a heslo v prehliadaci, ako keby o nieco islo. Potencialny utocnik nemoze nic....preplatok ide na ucet, z ktoreho idu preddavky, a viac co? Ide o hovno, pixovina ako voda v kosi. Ten, kto to tam vymysla, je troska paranoidny.....do NSA s nim !! Hlavne, ze dlho ich web siel len na IE.....ziaden FF, ani Chrome. Odpovedať Hodnotiť:

Just Curious Od: HeroDess | Pridané: 4.6.2014 10:39 hm, HB bol problem len ZSE? SPP ci RWE nic? A co vlada, ta uz HB odstranila? Odpovedať Hodnotiť:

Pridať komentár