25 Feb 2008

Gadu-Padu kradzież numerka

Żyję w Polsce, kraju wyjątków i paradoksów - chciałbym aby to było wiadome od razu na początku. Do niedawna byłem posiadaczem "elitarnego", "błyszczącego" czterocyfrowego numeru Gadu-Dudu, niestety pewnego pięknego dnia, a właściwie nocy ktoś mi zmienił hasło. Nie było by w tym nic dziwnego, jeśli nie to, że hasło miało 9 znaków. Co lepsze mogło być wygenerowane słownikowo. Każdy czytający powie "sam sobie jesteś winien". Po części się zgodzę z tym stwierdzeniem, ale chciałbym zauważyć że Operator Sieci Gadu-Gadu nie narzuca w żaden sposób polityki dobrych haseł! Co więcej nie ma limitu zapytań o hasło dla IP (TAAK!!! nie ma!!! niech żyją słowniki i brute-force), co więcej użytkownik którego konto może być atakowane metodą słownikową / bruteforce nie dostaje o tym żadnego monitu!!!. No ale to właściwie nie jest ważne ... przejdźmy do sedna, czyli kontaktu z HelpDeskiem ;).
Po odkryciu, że moje hasło nie działa postanowiłem spróbować opcji przypomnij hasło mailem (jakież by było moje zaskoczenie gdyby to działało - oczywiście ta próba nie powiodła się - ciekawy sposób zabawy jeśli dobrze rozumiem, przypomnienie hasła faktycznie przypomina nam nasze hasło, a powinno działać to zupełnie inaczej). Jak, otóż:
  • Powinno być to dwufazowe pierw przychodzi do nas link, "czy jesteś pewny że chcesz przypomnieć hasło"
  • Po jego kliknięciu powinno zostać nam wygenerowane nowe hasło (najlepiej jakieś skomplikowane) większość użytkowników i tak zapisze je tylko w programie i nie będzie go już używać nigdy
Jak jest (po domysłach):
  • Hasło jest przesyłane clear-textem w mailu.
Niestety chwilowo nie mogę tej informacji zweryfikować, ponieważ serwery rejestracyjne Gadu-Gadu nie działają.

Co do samych zmian hasła powinno być coś takiego potwierdzane e-mailem!!! No panowie nie róbcie sobie jaj, że oszczędzacie trochę transferu kosztem zadowolenia użytkowników (jeśli ktoś nie podał maila nie dostanie linku do potwierdzenia zmiany hasła - jego będą obowiązywały stare zasady).

Dobra, zostawmy już to bo zapewne Gadu-Dudu nic nie zmieni w swoim zachowaniu (jeśli by jednak szukał zmian i przypadkiem tutaj trafił to liczę, że dostane jakąś dobrą flaszkę za pomysł). Pora powiedzieć coś o helpdesku.

Halpdesk jak to helpdesk ma jedno zadanie pozwolić ludziom w firmie pracować (generalnie wysłuchać i olać klientów). A więc jak to się ma w sprawie Naszego ukochanego Operatora, otóż:
  • Ludzie tam pracujący nie czytają co się do nich pisze, ponieważ opisałem swój problem w miarę dokładnie zdziwiło mnie to, że dostałem standardową ankietę do wypełnienia (wróciła do mnie po 10 minutach - byłem pod wrażeniem szybkości helpdesku).
  • Po pierwszym mailu zauważyłem, że poczta Gadu-Dudu nie lubi Gmailowego UTF8 - przestałem go używać wypełniając ankietę.
Ankieta wyglądała następująco:
Proszę Cię o podanie odpowiedzi na wszystkie poniższe pytania.
Informacje te są niezbędne do weryfikacji Prawowitego użytkownika numeru Gadu-Gadu,
z którym występuje problem.

1. nr GG z którym występuje problem
  odp:

2. data założenia konta ( przybliżona )
  odp:

3. adres email użyty podczas procesu rejestracji (nawet jeżeli już nieaktualny)
  odp:

4. na jaki adres email ostatnio były wysyłane przypomnienia hasła
  odp:

5. adres IP, z którego nastąpiło ostatnie poprawne logowanie komunikatora
( w przypadku nie posiadania wiedzy na temat Adresu IP można posiłkować się stroną
http://www.whatismyipaddress.com/ )
  odp:

6. data ostatniego poprawnego logowania (dzień/miesiąc/rok)
  odp:

7. hasło, które ostatnio działało (takie które użytkownik pamięta)
  odp:

8. okoliczności w jakich stałeś się użytkownikiem tego konta GG
  odp:

9. inne uwagi/okoliczności
  odp:
Ze spokojem wypełniłem wszystko co pamiętałem (ip, mail i inne zostały wpisane w ankiecie), w pytaniu 9 ze szczerością obiecałem, że jak mi się coś przypomni to dopisze kolejnego maila. Co jak się później okazało stało się (znalazłem kartkę z pierwszym mailem i hasłem mojego numeru) - podesłałem.

Od momentu wypełnienia ankiety mijają już 4 dni, z firmy Gadu-Gadu nie dostałem żadnej odpowiedzi, wysłałem 2 zapytania jeszcze czy już coś słychać, czy moja prośba o przywrócenia hasła do mojego numeru GG została rozpatrzona, czy w końcu jestem prawowitym właścicielem swojego "lansiarskiego numerka".

Obecnie, czekam choć szczerze mówiąc obawiam się, że tym doświadczeniem się kończy moja przygoda z GG - nie mam zamiaru zakładać kolejnego konta tylko po to by popisać z paroma osobami, zmieniłem podejście - od dziś będę tylko na Jabberze (nie mam chęci zakładać kolejnego numeru GG i wysyłać do moich znajomych informacji o nowym numerze - za dużo mam znajomych).

Umarł król, niech żyje król. (Long live Jabber). PS: Gdyby tu trafił tech support GG to mój ticket: #INW-85350-726 ;).
PPS: Czy gdzieś popełniłem błąd, dlaczego nie uzyskałem odpowiedzi na moje pytania? Czy INW to skrót od Invalid, jeśli tak to jak powinien wyglądać pierwszy mail do tech supportu i dlaczego nie jest on umieszczony gdzieś na stronie GG w widocznym miejscu?

Jestem ciekawy doświadczeń innych z Gadu-Dudu, możecie opisać swoje przygody w komentarzach :)

3 comments:

  1. nie ty jeden padłeś ofiarą ZŁODZIEJA GG! żeby było śmieszniej to mi także ukradziono numerek w tym samym czasie! Może to jakiś masowy atak. Skoda numerka 5-cio cyfrowego zaczynającego się na 15... - krótki i łatwy. Póki co założyłem nowe konto i obserwuje "złodzieja" z moim numerkiem. Pewnie zrobie mu zabójczy numer z Kansas. Może też się skusze i wypełnie formularzyk gg.

    ReplyDelete
  2. Witam, to ja jestem kolejną ofiarą złodzieja. Mój numer pięciocyfrowy został skradziony wczoraj. Narazie czekam na odpowiedź z GG.
    p.s. Co to za numer z Kansas ?

    ReplyDelete
  3. Nie mam pojęcia, co to za numer ;). Ale zapewne polega to na jakimś zastraszeniu policja/operatorem GG (potrzebny kolega z krótkim numerkiem - 3 lub 4 cyfry). No innym pomysłem by było zdobycie jego IP i poszukanie kontaktu do admina z lokalnej sieci jeśli przez takową się łączy (marne szanse).

    ReplyDelete