O interakcjach niekoniecznie mile widzianych
Blog > Komentarze do wpisu
Jak Play (operator P4) kpi sobie z bezpieczeństwa w kontaktach telefonicznych?

Oto krótka opowieść, jak Play ustanowił proces kontaktów telefonicznych, który jest wręcz podręcznikowym przykładem tego, jak nie należy postępować.

Oto co robi Play:

1. Dzwoni do Was z numeru zastrzeżonego oferując interesującą promocję.

2. Jeśli wyrażacie zainteresowanie prosi Was o autoryzowanie się i podanie pewnych kluczowych danych osobowych (tudzież hasła)

3. Jeśli podacie prawidłowe dane, otrzymujecie informacje o promocji i możecie z niej skorzystać.

 

Gdzie tu niby problem? Otóż znając ten proces - KAŻDY może podszyć się pod Play i wyłudzić od innych dane osobowe i inne informacje potrzebne do obsługi jego konta. Jako klient w żadnym momencie tego procesu nie autoryzujecie osoby po drugiej stronie. Jedynym czynnikiem, który ma świadczyć o tym, że dzwoni z Play, jest szybkie nawijanie jakieś standardowej gadki o ofertach promocyjnych i tym, "czy rozmawia z głównym właścicielem numeru".

W każdej książce poświęconej bezpieczeństwu jasno podkreśla się, że wszelka forma autoryzacji przez telefon może zachodzić jedynie w kierunku OD dzwoniącego DO osoby do której dzwonimy.

Prawidłowy proces autoryzacyjny w Play powinien więc wyglądać, że jeśli ktoś do nas dzwoni z tej firmy i coś oferuje, to powinien podać numer telefonu (najlepiej zgadzający się z tym na stronie operatora) pod który możemy oddzwonić i autoryzować się. Nigdy nie może się odbywać to w ten sposób, że dzwoniący do nas (a tym bardziej z zastrzeżonego numeru) chce abyśmy mu podali hasło lub dane osobowe!

Tak więc gratuluję Play wspaniałego procesu i wręcz cudownego podejścia do bezpieczeństwa danych osobowych klienta. Przypadki takie jak ten trzeba piętnować, gdyż w przeciwnym wypadku te objawy głupoty ze strony Play zostaną uznane za normę i tylko ułatwi się pracę różnym socjotechnikom.

 

środa, 27 lutego 2013, trucie-dupy

Polecane wpisy