Nowa wersja komunikatora Gadu-Gadu została uzupełniona o szyfrowanie połączeń, co wprawiło w osłupienie wielu internautów. Czy wprowadzenie tej funkcji oznacza, że korzystanie z GG jest już całkiem bezpieczne? Niekoniecznie. Czytelnik Dziennika Internautów zwrócił uwagę na kontrowersyjny sposób przechowywania haseł użytkowników.
– Niedawno miałem problem z założeniem nowego konta. Zarejestrowałem się, ale nawet moce piekielne nie zdołały mnie na to konto zalogować. Konto świeżutkie, hasełko banalne – opowiada Czytelnik, który mając nadzieję na rozwiązanie problemu, wysłał e-mail do obsługi technicznej GG. W odpowiedzi otrzymał zestaw pytań niezbędnych do weryfikacji prawowitego użytkownika numeru. Jednym z nich było: hasło, które ostatnio działało (takie które użytkownik pamięta).
– 10 lat rozwijania, rzeki artykułów na temat bezpieczeństwa, setki książek o tym, że największym problemem w bezpieczeństwie jest bezmyślność ludzka i tak oto dostaję e-mail, w którym oczekuje się, że podam jak najbardziej zwykłym tekstem moje hasło – bulwersuje się Czytelnik. Nie mogąc wyjść ze zdumienia, skorzystał on z opcji przypominania hasła i otrzymał następującą wiadomość:
Twój numer Gadu-Gadu: 123123123 Twoje haslo: XXXXXXX Uwaga: ten email został wysłany w wyniku wybrania w programie Gadu-Gadu opcji Wyślij Hasło. Jeżeli nie wywoływałaś/wywoływałeś tej opcji, to być może ktoś przez pomyłkę wpisał Twój numer i wybrał tę opcję. Jednak hasło zostało przesłane wyłącznie na Twój email podany przy rejestracji. – Zespół Gadu-Gadu
Z e-maila tego wynika, że producent komunikatora – firma GG Network – przechowuje hasła użytkowników w postaci niezakodowanej, co zdecydowanie odradzają eksperci ds. bezpieczeństwa. Gdzie jest Generalny Inspektor Ochrony Danych Osobowych? Kto na to pozwala? – zapytuje Czytelnik, który zamieścił opis swego przypadku na Wykopie.
Warto w tym miejscu przypomnieć, że w październiku ubiegłego roku Dziennik Internautów kontaktował się już z GIODO w sprawie konieczności hashowania haseł. DI otrzymało wówczas niejednoznaczną odpowiedź, z której wynikało, że przechowywanie haseł do systemu w postaci jawnej może stanowić lukę w jego bezpieczeństwie, ale biorąc pod uwagę inne mechanizmy bezpieczeństwa, może to nie być istotne.
Żadnych wątpliwości co do konieczności zabezpieczenia w ten sposób haseł nie mieli przepytani przez DI specjaliści: kierownik Działu Programistów w firmie ESC S.A. Michał Piszczek oraz Piotr Konieczny, współtwórca serwisu Niebezpiecznik.pl. Zwrócili oni uwagę na to, że ewentualna kradzież bazy danych z hasłami przechowanymi w postaci jawnej może przysporzyć użytkownikom wielu kłopotów. Chcąc zminimalizować ryzyko, zamiast haseł w bazie należy przechowywać jedynie ciągi znaków wygenerowane przez funkcje skrótu (np. SHA1, MD5).
Co mają do powiedzenia w tej sprawie przedstawiciele GG Network? Dziennik Internautów skontaktował się z Jarosławem Rybusem, rzecznikiem prasowym producenta Gadu-Gadu, który zapewnił, że dane użytkowników są przechowywane bezpiecznie oraz zgodnie z obowiązującymi przepisami prawa, w szczególności z Ustawą o ochronie danych osobowych. W e-mailu, który otrzymaliśmy, można przeczytać:
W procesie udzielania pomocy użytkownikowi w przypadku, gdy zapomniał on hasła do swojego numeru GG, zadajemy użytkownikowi szereg pytań, m.in. po to, aby upewnić się, że rozmawiamy z prawidłowym użytkownikiem danego numeru. Jedno z pytań dotyczy podania dotychczasowego hasła. Odpowiedź na to pytanie nie jest obowiązkowa. Użytkownik nie musi jej udzielać.
Warto zaznaczyć, że nie oznacza to, że hasło użytkownika jest przechowywane po naszej stronie w sposób niezabezpieczony. Dzięki zaawansowanemu algorytmowi w oparciu o odpowiedzi użytkownika jesteśmy w stanie mu pomóc. To także w trosce o to, aby nikt niepowołany nie podszył się pod użytkownika, który zapomniał hasło.
Jarosław Rybus poinformował, że GG Network pracuje nad wdrożeniem nowej funkcjonalności pozwalającej na przypomnienie hasła również innymi kanałami komunikacyjnymi z użytkownikiem (konkretnie jest to przypomnienie poprzez SMS, przyp. red.). Na pytanie, czy firma planuje wprowadzenie hashowania haseł, nie uzyskano odpowiedzi.
Źródło: DI.com.pl
Mozna porownywac hashe :I