Atentie la Orange WebCare

Cineva mi-a spart contul de orange webcare si s-a apucat de reincarcat cartele. Lectii:

1. Orange nu pot/vor sa anuleze incarcarile.
2. Orange nu pot sa-mi spuna de pe ce ip s-a logat respectivul
3. Orange nu a putut sa ma ajute in vreun fel, mi-au recomandat plangere la politie, ei "nu au cum sa ma ajute"
4. Nu pare sa existe vreun mecanism de prevenire a atacurilor brute-force in webcare. Poti baga parole in nestire, no problem. Nu exista limita de incercari, captcha, altceva, nimic.
5. WebCare nu se poate dezactiva de catre client, posibil serviciul clienti sa va spuna asa ceva gresit. E fals, nu se poate dezactiva decat de catre ei, si nu pe loc!
6. In WebCare, cel putin astazi, nu se putea schimba parola contului!!!
7. Orange nu pare sa monitorizeze nici incercari de login brute-force, nici istoricul operatiilor in cont (la mine apareau incercari de reincarcare de cartele cu sume ce depaseau cu mult limita abonamentului meu).

Deci grija mare ce parole aveti. Eu am renuntat la WebCare cu totul, prefer sa nu las banii mei la mana unor asemenea incompetenti. Ma gandesc sa trec pe Vodafone, urmeaza sa studiez ofertele, fiindca mi s-a parut ca Orange, dupa 5 ani si 2 abonamente, fara restante niciodata, m-au tratat ca pe un gunoi.

Nr reincarcat: 0756543470

Urmeaza sa fac plangere la politie plus ma gandesc sa-i dau in judecata pentru un asemenea site jenant.

ORANGE SUX!

 jmf, on May 1 2009, 19:44, said:

Din punctul ăsta de vedere te susțin cu vârf și îndesat. Trăim într-o lume în care consumatorului ar trebui să i se asigure protecția necesară banilor săi. Posibilitatea de a-ți proteja contul e de toată jena. Mai sigur e să-ți faci cont pe siteiuri cu torrente și warez-uri! Incredibil.
Prima dată când mi-am dat seama de „marea bubă” Web Care” a fost atunci când am vrut să-mi schimb parola. Nu se poate așa ceva în 2009 pe siteul unei firme cu asemenea capital!

 jmf, on May 1 2009, 19:44, said:

eu am fost client gold la orange si tot ca pe un gunoi m au tratat
ba mai mult, mi au albit paru in cap cu diferite eroari de facturare
cred ca o sa folosesc doua nr de vodafone cat de curand
sunt satul de orange ca becali de puscarie

Edited by pilips, 02 May 2009 - 07:26.

 jmf, on May 1 2009, 19:44, said:

Partea trista e ca nici nu trebuie asa ceva.
Era destul sa ai o optiune in cont care sa-ti permita sa te autentifici cu parola doar in mod read-only plus plata facturii si sa poti solicita sa-ti trimita prin SMS un PIN pt a putea face modificari pe parcursul sesiunii curente.
Sistemul cu PIN il au deja la crearea contului...

Au mai fost cazuri asemanatoare si sincer m-am gandit ce pot face pentru o siguranta mai mare pe webcare.
Primul lucru, mi-am schimbat parola de acces.
Apoi mi-am schimbat parola thank you care inainte era seria din CI (prin un apel la serv. clienti). Daca cineva sparge un cont la date personale apare si seria.
In ultimul rand, la date personale, modificare apar 3 campuri cu parole. Parola contului si verificarea parolei si al treilea parola thank you. Daca la parola thank you se lasa empty atunci singura informatie care poate fi urmarita e cronos-ul. Nu se poate reincarca, cumpara, etc. Penru a vedea si celelalte informatii se scrie la date personale parola thank you si informatiile pot fi vazute.

Orange incurajeaza astfel de fapte,prin inactiunea lor de a stopa astfel de metode si prin lipsa de cooperare in prinderea acestor infractori.

Si eu ma patit la fel, ce m-a uimit, a fost ca printre numerele incarcate de pe contul meu se afla si acest numar.Eu am patito in 2 aprilie 2009 am facut plangere la politie si la Orange .Politia a inceput deja cercetarile iar de la orange nu am primit nici o veste de o luna de zile....la insistentele mele imi zic ca se cerceteaza si voi primi in curand o concluzie. Ticalosii, ce sa zic, prin lipsa lor de operativitate incurajeaza frauda in plus nu dau informatii care sa ajute la prinderea infractorilor cu toate ca ei stiu multe detalii tehnice ca locul de unde sa acceseaza contul, adrese de IP iar prin programul orange young cunosc si numele proprietrului acelui numar....pt. ca e vorba de un tanar din clasa 12 [stiu ce zic si stiu de unde e politia are toate datele].Vom vedea cum decurg lucrurile ,sper sa-l pot ''agata'' sau "stopa'',luatio cum vreti, pt ca se pare ca baiatul e bun la PC... colegiul unde invata e mate - info.

ce bine ca din myvodafone nu se poate transfera credit de pe abonament

Am facut reclamatie la politie deja. La Orange am trimis mail la abuse, dar probabil degeaba, nu cred sa se sinchiseasca. Totusi, daca ai deja datele individului le astept pe PM

exclusiv pt computere/laptopuri personale:
majoritatea browserelor ofera posibilitatea salvarii user/parola pt site-uri. folositi optiunea respectiva si generati-va o parola foarte lunga cu caractere de tot felul care apar pe tastatura (inclusiv cele de deasupra cifrelor, accesibile cu shift+cifra).
folosind sistemul asta aveti 2 beneficii:
1) aveti o parola foarte greu de spart (spre imposibil) si exclusiv folosind brute force (majoritatea conturilor sunt sparte folosind dictionary atack si altele de genul)
2) in cazul in care intrati pe un site de phishing, password managerul nu il va recunoaste si nu va introduce user/parola si deci automat aveti tras un semnal de alarma ca nu sunteti unde credeti ca sunteti. si implicit va protejati de acest atac.

dezavantaje: oricine are acces la calculatorul vostru poate sa va afle userle si parolele.
pentru o mai mare protejare, in cazul in care folositi multi-user, dati click dreapta pe fisierele in care se tin aceste informatii, properties, advanced si bifati "encrypt contents to secure data". mare atentie: daca va uitati parola de windows si dati reset le ea, NU veti mai putea sa va recuperati fisierele protejate astfel. evident, nimeni, nici cu drepturi de administrator si sub nici o alta forma decat folosind diverse tehnici de spargere a conturilor windows fara reset nu va putea acesa acele fisiere. singura gaura de securitate mai ramane cazul cand dati parola la altcineva si cand lasati calculatorul pornit si logat. adica e destul de sigura treaba daca aveti grija.

cine e pe linux, va emite chmod +600 pe fisierul respectiv. totusi root va putea citi in continuare fisierul.

Unii sunt chiar vai mama lor si baga totul la share pe dc++ .De aici in mare parte incepe totul, probabil ca ei nici nu-si dau seama ca de acolo se poate face rost extrem de usor de parolele cu care este logat respectivu pe toate site-urile, eventual si de messenger(cand va duceti in parc tot asa va lasati portofelul pe banca si va plimbati ?). Ce-mi place e ca apoi apar indivizii cu fraze de genul mi-au "spart" contul de messenger mi-au "spart".... . Este destul de greu sa poti face rost de parolele cuiva daca nu ai acces la pc-ul lui, sau de la distanta daca acesta are un firewall, antivirus si nu e atat de bleg incat sa downloadeze/accepte fisiere suspecte. Pt userul "furat" ei bine nu o sa poata face politia nimic in cazul in care s-a intamplat cum am zis mai sus si nici orange-ul nu are nicio vina ca tu nu iti protejezi dracia.  

Edited by blackdoggy, 04 May 2009 - 17:43.

jmf, imi pare rau pentru ce ti s-a intamplat!
Imi pare si mai rau de faptul ca nu ti s-a aprins "beculetul" cand ai vazut ca in webcare nu poti avea decat litere si cifre in campul de parola, neputand introduce in componenta parolei caractere non-standard!!!

dar eu tot nu înțeleg ceva. Cum îi explicați unui profan/ignorant ce e aia brute force?

 tzotzolyno, on May 4 2009, 23:41, said:

De exemplu, pt a afla PIN-ul unui card incepi cu: 0001, 0002, 0003, ...
Orice banca normala blocheaza acel card cupa x incercari esuate. Asa ar trebui sa procedeze si alte companii.

 3oaie, on May 5 2009, 15:08, said:

Deci daca eu am PIN-ul 0000, nu mi-l nimereste?   

 MadHawk, on May 4 2009, 21:16, said:

Asa e, dar:
1. Mi-am facut contul acum N ani
2. Efectiv nu m-am gandit ca o companie de talia Orange poate gafa in asa hal.
3. Faptul ca poti avea doar litere si cifre nu cred ca e in sine o mare problema, bagi litere mari/mici, cifre si 19 caractere si ciao

As vrea sa pot zice ca am revenit cu noutati, dar nu e cazul. Posibil peste vreun an doi

jmf, poate scriptul lor de logare nici nu stocheaza de pe ce ip te-ai logat ultima data si din acest motiv nu-ti spun ce ip a fost logat in momentul reincarcarilor de cartele.

Cu ocazia asta, mi-am schimbat și eu parola de administrator care era comună cu nr.-ul seriei de „bulentin”.