HS: Postin saapumisilmoituksia vuotanut nettiin – löytyvät helposti
Helsingin Sanomien mukaan postin sähköisiä pakettien saapumisilmoituksia on vuotanut verkkoon. Saapumisilmoitus kertoo nimensä mukaisesti, että paketti on noudettavissa. Ilmoituksesta selviää myös lähettäjä ja vastaanottajan osoite.
Lehden mukaan se onnistui löytämään useita eri paikkakunnille osoitettuja saapumisilmoituksia. Saapumisilmoitusten etsiminen on Helsingin Sanomien mukaan niin yksinkertaista, että kuka tahansa tekniikkaa ymmärtävä pystyy siihen helposti. AfterDawn onnistui myös löytämään saapumisilmoituksia internetistä ja voimme vahvistaa mentelmän helppouden.
Itella kiistää tietojen vuodon. Yhtiö epäilee vastaanottajien jakaneen tietoja verkossa. Toinen selitys voi olla Itellan mukaan sähköpostipalvelimien ongelmissa.
Helsingin Sanomien tiedot ovat kuitenkin ristiriidassa Itellan näkemysten kanssa. Lehti haastatteli kahta henkilöä, joiden saapumisilmoitukset ovat vuotaneet. Kumpikaan heistä ei ole jakanut tietoja ulkopuolisille. Lisäksi he käyttävät eri sähköpostipalveluita (Kolumbus ja Gmail).
Erityisen mielenkiintoiseksi tapauksen tekee se, että toinen Helsingin Sanomien haastattelema ihminen on maistraatin asettamassa turvakiellossa, joka on yhteystietojen luovutuksen esto, jota käytetään kun henkilö on kokenut poikkeuksellista uhkaa tai tekee lisäturvaa vaativaa työtä.
Itellalla ei ole ollut erityisen helppoa viime aikoina. Maanantaina yhtiö kertoi, että Postin sähköisiä kuluttajapalveluja on hyödynnetty petostarkoituksiin. Tapauksessa hyödynnettiin vanhoissa tietovuodoissa paljastuneita kirjautumistietoja. Posti kertoi eilen, että se on lukinnut asiakkaiden käyttäjätunnuksia varotoimenpiteenä.
16 KOMMENTTIA
Legitti1/16
Ihan helppoa. Vaihtaa vaan muutaman viimisen numeron lopusta.
Legitti2/16
Ihan helppoa. Vaihtaa vaan muutaman viimisen numeron lopusta.
cahva3/16
Joo eipä tuo kovin vaikeata ollut. Nyt tosin ovat pistäneet luukut kiinni eikä saa enää haettua noita.
daim0n4/16
On aina hyvä idea syyttää asiakkaita
G0lden_Kebab5/16
Juu, ihan kokeilumielessä katsoin niin olis saanut kohtuullisen helposti parinkin jannun paketin haettua, läh tunnusta vastaan...
Lumikki6/16
Ei mikään yritys oli se Posti tai jokin muu, koskaan tunnusta omia töppejään. Ne yrittää aina väittää jotain muuta. Oho, se oli vahinko. Vaikka vahingossa ei asiaa edes pysty tekemään. Myöskään yhteiskunta ei aseta yrityksiä vastuuseen tietoturvan laiminlyönneistä.
Yleisesti ottaen useat yritykset on kiinnostunut paljon enemmän saada halvalla, helpolla ja nopeasti joku palvelu toimimaan kuin että se olisi tietoturvallinen. Monissa järjestelmissä on valtavia heikkouksia jo suunnitteluvaiheessa.
teme5657/16
Jeps, jos kyse on tosiaan siitä, että "arvaa" noita lähetystunnuksia ja niillä hakee lähetystenseurannasta, niin eipä tämä kovin suuri uutinen ole.
Riittää kunhan on yksi oikea lähetystunnus, ja sitten vaan vaihtaa viimeisen/viimeiset numerot yhtä suuremmaksi tai pienemmäksi ja tadaa. Tällähän ei sinänsä ole merkitystä, postivirkailijan kuuluu kuitenkin tarkistaa henkilöllisyys lähetystunnuksella haettaessa.
G0lden_Kebab8/16
sepä se, mutta kokemuksesta tiedän että löytyy niitäkin ketkä eivät kysele henkkareita pakettia haettaessa...sekin aika hälyttävää sinänsä.
teppoI9/16
Lähetysseurannan kautta ei kuitenkaan näe vastaanottajan nimeä tai osoitetta. Tuon kautta ei myöskään näe kuka paketin on lähettänyt. Lähetysseurannalla näkee vain paketin kiertokulun Postin ketjussa.
Saapumisilmoituksesta taas paljastuu nimi, osoite ja lähettäjä.
qwerty8310/16
No olipa tosiaan järkyttävvä uutinen. Jo parin paketin lähettämisen jälkeen varmaan jokainen on kiinnittänyt huomiota lappujen juoksevaan numerointiin.
emagdnim11/16
Jep, mut noiden linkkien pitäis olla privaatteja noiden nimi- ja osoitetietojen vuoksi. ts. pientä suolausta sekaan, nii arvaaminen menee mahdottomaksi. Normaalissa seurantapalvelussa ei ole ongelmaa, kun nimi- ja osoitetiedot ei näy.
teme56512/16
Mistä tommosia sähköisiä saapumisilmoituksia saa? Ei ole itselle ainakaan ikinä tullut vastaan, se on aina joko paperilappu postiin ja/tai sitten tuo seurantakoodi.
Ite ottaisin paljon mieluummin saapumisilmoituksen sähköisenä kuin niitä paperilipareita postilaatikkoon, mutta ainakaan netpostista ei löytyny mitään, että saisi valita tuon.
emagdnim13/16
sähköposti? Taitaa olla maksullinen lisäpalvelu ja varmaankin vain yritys-lähettäjille. Verkkikseltä tuli ainaki tommonen
perhana14/16
Siis käsittääksenihän kyse ei ole nyt siitä, että niitä saapumisilmoituksia löytyisi numeroja arpomalla, vaan siitä että niitä löytyy yksinkertaisella google-haulla... eli tietyt sanat googlen hakuun ja hakutuloksissa alkaa löytyä linkkejä näihin saapumisilmoituksiin.
Kun näitä linkkejä ei löydy muilla hakukoneilla, niin eiköhän sitä syyllistä olisi syytä etsiä sieltä rakkaan google-jumalan suunnalta, ja selvittää mistä google on hakutuloksiinsa nämä linkit kaivanut, ja millä valtuuksilla.
Myös lähetysten seurantakoodeja löytyy helposti samalla tekniikalla, eli googlen hakuun esimerkiksi sanat "posti palvelee lähetystenseuranta" niin hakutuloksia selaamalla löytää toimivia lähetysten seurantakoodeja, vaikka ei näitäkään kai nyt kuuluisi google-haulla löytyä.
emagdnim15/16
aah, tutkinpas asiaa tarkemmin. Vaikuttais kyllä siltä, että johonkin ovat linkanneet linkkinsä. haku-botti ei noille sivuille itsestään yksinkertaisesti mene. Lisäksi ku noita on ollut vain muutama, niin sekin viittais penkin ja näytön väliin, väittävät mitä haluavat. Gmail voisi vielä onnistua foliohattuilessa,mut tuskin google nyt outlook-maileja kaivelee.
hakubotit seuraa nimenomaan linkkejä, ne ei randomilla kokeile osoitteita. Ei ainakaan ala hasheja arpomaan.
edit: en tiedä sitten, riittääkö sellainen, että laitat linkin vahingossa google-hakuna? Toinen mikä tulee mieleen, on chrome selain.. miten lie googlen hakukone käsittelee chromella selattuja sivuja.
avthein16/16
Postipakettien seurantatiedot ovat teknisesti julkista tietoa, eli paketin tunnisteen (juokseva numerointi) perusteella haettavissa.
Tietysti systeemin voisi muuttaa suljetuksi, niin että vain (tunnistautunut) lähettäjä tai vastaanottaja voisi hakea paketin tietoja. Toisaalta silloin olisi mahdollista hakea tietoja paketeista (jos on joko lähettäjä tai vastaanottaja) pelkästään tunnistautumalla Itellan järjestelmään, ilman paketin tunnistetietoja...
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT