Tako rzecze rzecznik Play

Co PLAY ma wspólnego z producentem noży?

Taki mocny tytuł godny nie jednego krajowego portalu technologicznego ;-) Nie bójcie się!

Bardzo, bardzo zły człowiek popełnił przestępstwo z użyciem noża. Czy winę za to ponosi producent noża? Dziś w jednym tekście autor próbuje przekonać czytelników do takiej tezy ;-( Ja wiem, że to mocne porównanie, ale temat bardzo poważny.

Tak to nasza wina, że wprowadziliśmy bardzo fajną usługę TelePLAY, z której korzystało przez kilka lat mnóstwo zadowolonych klientów. Dodam tylko, że kiedy ją wyłączyliśmy dostaliśmy bardzo mocny negatywny feedback.

Nie, to nie nasza wina, że na tym świecie są źli ludzie, którzy robią wszystko, żeby dobrać się do naszych kont bankowych. Poważnie, nie mamy z tym nic wspólnego. Ktoś znalazł sposób, jak wykorzystać stary TelePLAY do bardzo złych celów.

Teraz kilka ważnych dat pokazujących jak sprawnie zareagowaliśmy. 20 lipca 2015 dostajemy sygnały z banków o ryzyku nadużyć. Natychmiast blokujemy możliwość przekierowań SMSów z numerów, z których wysyłane są hasła autoryzacyjne. Numery wskazały nam banki. Od 1 sierpnia wstrzymujemy możliwość aktywowania usługi TelePLAY. Mogli z niej korzystać tylko Ci użytkownicy, którzy mieli już wcześniej opłacone abonamenty. Dokładnie 6 września usługa została definitywnie wyłączona ostatnim pojedynczym klientom.

Pamiętajmy, że aby doszło do nadużycia musiało być spełnionych jednocześnie kilka ważnych warunków:

  • pozyskanie przez przestępców identyfikatorów i haseł do systemów bankowych oraz do Play24,
  • posiadanie przez ofiarę nadużycia konta w Play24,
  • aktywowanie na koncie abonenckim ofiary usługi TelePlay przez stronę internetową tele.play.pl (a nie za pomocą SMS-a, co wymagało podania hasła jednorazowego do aktywacji usługi),
  • brak reakcji ofiary nadużycia na wiadomość SMS z informacją o aktywacji usługi TelePlay.

Proszę, nie zrzucajcie na nas winy i koniecznie zabezpieczajcie swoje komputery, swoje hasła, swoje skrzynki pocztowe. Uważajcie na wirusy, bo jak nie wpuścicie ich drzwiami to wejdą oknem, albo kominem i nie będzie to wina operatora.

PS: Zastanawiam się też, dlaczego ten tekst pojawił się akurat wczoraj wieczorem? Dziwny zbieg okoliczności.

PS2: Przepraszam autora, że nie wyrobiłem się z odpowiedziami dla autora tekstu

PS3: Noże ciągle są w sprzedaży i bardzo dobrze.

Komentarze

  1. Artek napisał(a):

    Pierwszy! Z innej beczki. Kiedy fajna oferta dla stałych klientów którzy chcą przedłużyć umowę?Raportuj

    • Konrad Koneczny napisał(a):

      Pomysł na zaprezentowanie odpowiedzi – bardzo dobry! :)

      No niestety, w sieci trzeba być bardzo ostrożnym. Tylko sporo osób o tej ostrożności myśli dopiero jak stanie się coś złego.

      Ja jak wracam nocą z imprezy to nie myślę, że ktoś mnie napadnie, bo sam nie mam zamiaru nikomu tak zrobić. Więc tragedia przychodzi niespodziewanie…

      Swoją drogą zastanawiałem się nad antywirusem dokupionym do abonamentu w PLAY. Ale komentarze innych użytkowników, chyba sprawią, że kupię licencję na wolnym rynku.

      To co mnie przestraszyło to opinie, że aplikacji Ochrona Internetu w PLAY nie da się usunąć (pierwsze komentarze jakie się wyświetliły o usłudze). Stąd moja obawa przed skorzystaniem. Bo jeśli komputer zacznie przy niej mulić, i będę chciał zrezygnować?
      Jak jest naprawdę. Da się tą aplikacje odinstalować?Raportuj

  2. mike278 napisał(a):

    Marcin jak zwykle biorę stronę klienta, tak tu muszę się zgodzić praktycznie z Twoją argumentacją. Nie wszystko jest wina korporacji czy mitycznego w ustach konsultantów „systemu” który różne cuda robi. Tym jednak razem uważam że nadawanie tych samych haseł i niestosowanie podstawowych zasad bezpieczeństwa bankowości internetowej jest nie do obrony. Hasła jednostkowe, trudne i zmieniane co pół roku maksymalnie-główne zasady w bankach. A hasła mogą być trudniejsze do zgadnięcia i łatwe do zapamiętania np: JSZMt513 czyli Jestem solą ziemi Mateusz 5:13 albo LOmTjjz czyli Litwo,Ojczyzno…. etc. Możliwości jest sporo. Wiersze,książki co chcecie. Ci którzy stracili pieniądze na pewno nie przestrzegali tych zasad.Raportuj

  3. kjonca napisał(a):

    Generalnie bym się zgodził, ale: „Play odmówił również Łukaszowi wyłączenia możliwości aktywowania usługi TelePlay w przyszłości.”
    Powiedzmy, że znam zagrożenia związane z jakąś usługą i chciałbym zablokować jej aktywację. Jak rozumiem, Play powie że „niedasie”, a później powie że to moja wina. Dobrze rozumiem?Raportuj

    • Marcin Gruszka Marcin Gruszka napisał(a):

      Nie wierzę, że odmowiono komuś możliwości zablokowania usługi. Może poinformowano, że nie da się tego technicznie zrobić w tym momencie a to zasadnicza różnica. Nie znam tego zgłoszenia więc mogę gdybać, ale wystarczy, że klient przestaje płacić i koniec z korzystaniem z usługi.Raportuj

      • kjonca napisał(a):

        8-O
        „wystarczy, że klient przestaje płacić i koniec z korzystaniem z usługi.”

        No tak, wpisaliśmy się w odpowiedź „przecież 14 dni za darmo, to co ten klient od nas chce?”
        Czy w ogóle przeczytałeś artykuł? Jeśli dobrze go zrozumiałem teleplay było potrzebne na jedną noc.Raportuj

      • trololo napisał(a):

        Jest zasadnicza różnica między WYŁĄCZENIEM usługi, a zablokowaniem możliwości jej włączenia. O zablokowanie włączenia chodzi. No technicznie raczej nie ma Play możliwości założenia blokady na włączanie usług.Raportuj

  4. .we napisał(a):

    trochę idiotyzm bo wystarczyłoby, żeby do włączenia usługi zawsze było wymagane podanie hasła sms i tyle (do innych usług trzeba!) – wtedy problemu by nie było…

    co do zabezpieczeń to takie ‚wylewanie dziecka z kąpielą’ – to, że na świecie istnieją nierozgarnięci idioci oznacza, że wszyscy muszą dostać po 4 literach przez brak możliwości używania fajnej usługi…

    i: nagle stało się jasne, dlaczego Play nagle tak frasobliwie zablokował również kopię sms z banków na e-mail… więc teraz trzeba biegać z 2 telefonami bo a nóż będzie trzeba potwierdzić coś via sms i 4.litery blade :/

    byłoby miło, gdyby jednak play włączył wersję ‚niebezpieczną’ dla świadomych użytkowników (używanie szyfrowania + weryfikacji dwuetapowej, do tego różne hasła i jest całkiem bezpiecznie)Raportuj

    • .a napisał(a):

      Barany po prostu projektowały tą usługę. Pierwszy raz o niej słyszę i aż strach mnie obleciał, że ktoś może ją ot tak aktywować na moim koncie.
      Tak niewiele by trzeba było by zautoryzować np 4-ro cyfrowym tokenem włączenie tego widoku.
      Jestem przekonany, że sąd weźmie stronę poszkodowanych bo to operator prócz produkcji noża to wręczył nóż przestępcom w dłoń.Raportuj

  5. ADM napisał(a):

    Jawna wina banków! Co to za głupota, aby jakieś kody autoryzacji do kont wysyłać SMSem?! Mój bank na siłę próbuje mnie na taki system autoryzacji namówić, ale nic z tego. Karta kodów jednorazowych jest jakimś pewnie nieporównywalnie większym wydatkiem dla banku: trzeba to wszystko zgrać z systemem, wyprodukować kartę z kodami i wysłać ją do klienta. SMS jest tańszy i wygodniejszy dla banku.
    Ja zostaję przy kodach jednorazowych i na nic lamenty banku, że co miesiąc potrzebuję 3 do 4 takich kart z kodami :-)
    Jedynie zgodzę się na SMS, gdy to będzie jako dodatkowe zabezpieczenie razem z kartą kodów!Raportuj

  6. Artek napisał(a):

    Afera na całego :-)Raportuj

  7. Konrad Koneczny napisał(a):

    Pomysł na zaprezentowanie odpowiedzi – bardzo dobry! :)

    No niestety, w sieci trzeba być bardzo ostrożnym. Tylko sporo osób o tej ostrożności myśli dopiero jak stanie się coś złego.

    Ja jak wracam nocą z imprezy to nie myślę, że ktoś mnie napadnie, bo sam nie mam zamiaru nikomu tak zrobić. Więc tragedia przychodzi niespodziewanie…

    Swoją drogą zastanawiałem się nad antywirusem dokupionym do abonamentu w PLAY. Ale komentarze innych użytkowników, chyba sprawią, że kupię licencję na wolnym rynku.

    To co mnie przestraszyło to opinie, że aplikacji Ochrona Internetu w PLAY nie da się usunąć (pierwsze komentarze jakie się wyświetliły o usłudze). Stąd moja obawa przed skorzystaniem. Bo jeśli komputer zacznie przy niej mulić, i będę chciał zrezygnować?
    Jak jest naprawdę. Da się tą aplikacje odinstalować?Raportuj

  8. xtr napisał(a):

    eh… już myślałem że jakieś fajne noże pojawią się w ofercie. Spyderco. Benchmade…Raportuj

  9. Wkurzony napisał(a):

    Tutaj znajdziecie więcej szczegółów : http://tlp.is/9bu
    Aż strach się bać. Przeczytajcie uważnie. Nikt nie był bez winy. Również Play.Raportuj

    • Jack napisał(a):

      PLAY przede wszystkim był winny bo pozwolił na dostęp do telefonu bez dostępu do telefonu (aktywować TelePLAY należałoby potwierdzić kodem SMS).Raportuj

  10. mkkot napisał(a):

    Dobrze. A teraz wprowadźcie dodatkowe zabezpieczenie i odblokujcie przydatną usługę. Nawiązując do metafory tekstu, rozumiem że producent noży w reakcji na morderstwo przerzucił się na produkcję wałków do ciasta.Raportuj

  11. kret napisał(a):

    Czy Play zabezpieczył usługę Teleplay w taki sposób, że tylko posiadacz telefonu mógł ją włączyć?
    Nie.
    Jak producent Kreta nie zabezpieczył swojego produktu należycie i dzieciak sobie zrobił krzywdę, to kosztowało to 100000 zł. Może lepiej żeby Play nie produkowało ani noży ani wodorotlenku sodu.Raportuj

  12. vainglorious napisał(a):

    A ja jestem ciekaw po co w Play jest w ogóle opcja potwierdzenia kodem sms. Aktywowalem komuś konto play24. Przyszedł sms potwierdzjący, który przepisałem i konto stało się aktywne. Po jakimś czasie chciałem aktywować pakiet na tym koncie. Przyszedł sms, ale nie miałem dostępu do tamtego telefonu i pomyślałem, że szkoda bo nie aktywuję, ale przynajmniej jest bezpiecznie. Ale znalazłem zakładkę „numer do przysyłania potwierdzeń sms. Wpisałem jeden ze swoich numerów i bez żadnej weryfikacji smsy z kodami zaczęły przychodzić na mój numer. W tym momencie wydaje mi się że taka weryfikacja traci sens. Wystarczy że będę miał dostęp do czyjegoś telefonu przez kilkanaście sekund, założę mu konto na play24, odbiorę sms weryfikujący i go skasuję. Jaki sens ma opcja potwierdzania kodem sms zmian na koncie jeśli mogę zmienić numer na który przychodzą smsy bez ponownej weryfikacji tego?Raportuj

  13. Joanna napisał(a):

    „Natychmiast blokujemy możliwość przekierowań SMSów z numerów, z których wysyłane są hasła autoryzacyjne.” po co to i co to oznacza w praktyce? Konsultant w boku play wczoraj powiedział mi, że mozna przekierować tylko rozmowy głosowe.Raportuj

    • bbb napisał(a):

      Blokada była systemowa (nie na pojedynczego użytkownika). Przekierowanie, o którym mowa to przekierowanie z sieci komórkowej do TelePlay. W praktyce oznacza to, że SMSy autoryzacyjne przychodziły na telefon a nie na TelePlay, jak normalne SMSy.Raportuj

    • Krzysiek Sylwerski napisał(a):

      To zupełnie dwie różne sprawy – konsultant ma rację.Raportuj

  14. tomek napisał(a):

    Zgadzam się, plucie na operatora (w najdziwniejszych zakątkach internetu) że to ich wina że komuś kasa z konta została skradziona jest co najmniej bez sensu. Na szczęście większość komentarzy pod tekstami jest rozsądna co daje nadzieję, że Polacy jednak nie gęsi. Samej usługi szkoda, mieszkałem kilka lat za granicą i korzystałem z niej dzień w dzień.Raportuj

  15. maximo75 napisał(a):

    To nie żadne plucie.Przeczytaj uważnie artykuł http://tlp.is/9bu a potem stawaj w obronie sieci.Brak zabezpieczeń była winą operatora jak byk.Myślę,że okradzeni w ten sposób ludzie w sądzie maja szansę wygrać proces o odszkodowanie nie tylko z bankiem ale i z opem.Raportuj

    • Wojtek G napisał(a):

      Wina to była klienta kto normalny używa tego samego hasła w każdym koncie ?
      Głupota klienta i tyle, ja nie wie jak korzystać z takich usług to powinien nie mieć konta internetowego !!Raportuj

      • .a napisał(a):

        A kto pisał, że używali tego samego hasła? Numer msisdn jest uznawany jako zabezpieczenie wielu procesów autoryzacyjnych tylko dlatego, że (do tej pory) dawał pewność, że żaden OP nie wpadnie na pomysł udostępnienia treści z naszego telefonu innym osobom niepowołanym.
        Podaj numer msisdn, możliwe, że gdzieś go wprowadziłeś jako drugi składnik autoryzacjiRaportuj

  16. .a napisał(a):

    Ktoś tutaj popłynął.
    Błędy:
    Wystarczyło, że przestępca posiadał tylko:
    *pozyskanie przez przestępców identyfikatorów i haseł do systemów bankowych oraz do Play24,
    Login to numer msisdn, a hasło do odzyskania przy pomocy email. Ofiara przestępców staje się celem agresywnej akcji podsłuchu i kradzieży danych tylko dlatego, że jest klientem PLAY (gdzie można aktywować usługę teleplay). Ofiary stały się ofiarami tylko dlatego, że były klientami PLAY.

    Kolejne:
    *posiadanie przez ofiarę nadużycia konta w Play24,-> jakieś jaja. Każdy OP umożliwia konfigurację usług poprzez www lub apkę. W Waszym rozumowaniu klient jest sam sobie winien, że używa Waszych usług.

    A poniższe to przejaw hipokryzji ze strony opłaconej %$^&* play
    *aktywowanie na koncie abonenckim ofiary usługi TelePlay przez stronę internetową tele.play.pl (a nie za pomocą SMS-a, co wymagało podania hasła jednorazowego do aktywacji usługi) -> treśc sms’a aktywującego usługę: „TelePlay: Zalogowano sie wlasnie do uslugi TelePlay. Jesli to nie Ty, wyslij SMS o tresci NIE pod bezplatny numer 18353 (1TELE). http://www.tele.play.pl
    *brak reakcji ofiary nadużycia na wiadomość SMS z informacją o aktywacji usługi TelePlay. ->Przecież w artykule jest jasno, że ofiary interweniowały.

    Hałas jest o to, że jeśli play by nie wprowadził głupiego systemu (tj. usługi marzeń dla przestępców) to żaden klient nie byłby na celowniku przestępców. Taka zasada.
    Tłumaczenie OP nie przemawia, wręcz zanieczyszcza przekaz i wagę wydarzeń.Raportuj

  17. teleplay napisał(a):

    Dlaczego nie ma już teleplay ? Skoro nic złego w tym nie było….Raportuj

  18. Mariusz Piotrowski napisał(a):

    Panie Marcinie
    Mam takie pytanie dlaczego klienci biznesowi(i pewnie indywidualni), którzy chcą przedłużyć umowę(FORMUŁA SMARTFON VIP dla Firm za 119,99 zł) nie mogą zamówić samsunga galay s7 z goglami VR przez play.pl, bądź przez wasz bok ? Dlaczego jak na razie jedyną opcją jest rozwiązanie umowy z P4 i podpisanie nowej?Raportuj

  19. Filip Rosier napisał(a):

    Kurcze, musiałem skorzystać treści artykułu podlinkowanego wyżej, żeby ogarnąć ten wpis.
    Niemniej – kogoś nieźle wku**iliście :D Może były pracownik IT?Raportuj

  20. Jack napisał(a):

    Oczywiście, że najbardziej ciała dał Play i odpowiedź takiej firmy jest kpiną. Kluczowym w całym procesie była możliwość włączenia usługi TelePLAY bez potwierdzenia tego przez SMS, w takim scenariuszu WSZYSTKO możemy zrobić z poziomu komputera.Raportuj

  21. Zenon napisał(a):

    Panie Gruszka proszę sobie napisać na ścianie nad łóżkiem Pańskie własne słowa: „na tym świecie są źli ludzie, którzy robią wszystko, żeby dobrać się do naszych kont bankowych.” i czytać te słowa każdego dnia rano i wieczorem, po czym wpajać je twórcom serwisu Play24 jak również wszystkim pracownikom sieci. Wystarczyło każdorazowe uruchomienie usługi TelePlay zabezpieczyć jednorazowym kodem wysyłanym na nr telefonu którego uruchomienie w/w aplikacji ma dotyczyć. Aplikacja po kilku minutach bezczynności sama się wyłącza i do ponownego uruchomienia wymaga kolejnego kodu. Sądzę że mogłoby się to wielu klientom wydać upierdliwym rozwiązaniem, ale raczej skutecznie zabezpieczyłoby ich przed niepowołanym dostępem osób postronnych.Raportuj

  22. Tytanowy Janusz napisał(a):

    Porównanie zaistniałej sytuacji do producenta noży urąga inteligencji czytelników. Dobrze że nie jesteście moim bankiem bo pewnie dla ułatwienia życia klientom wprowadzilibyście płatności lub wypłaty z bankomatu bez autoryzacji PINem. A jakby coś to zwalimy winę na klienta, przecież powinien pilnować karty.Raportuj

  23. Marucins napisał(a):

    Play to ciamajdy i tyle. nie umieli odpowiednio zabezpieczyć usługi. Co nie zmienia faktu że najsłabszym ogniwem dalej są łatwowierni ludzie.Raportuj

  24. Karolina napisał(a):

    Gorzej bezsensownego tekstu nie czytałam. Idąc o krok dalej w te beznadziejne porównania
    To co Play ma wspólnego z potocznie zwanym „klawiszem” w więzieniu? To, że pewne firmy/osoby świadczące usługi czy też sprzedające swoje produkty mają w obowiązku wykonywanie tych czynności przy jednoczesnym zapewnieniu bezpieczeństwa odbiorcom – dlaczego „klawisz” ponosi odpowiedzialność np. za okaleczenie osadzonego na jego zmianie skoro on sam tego nie dokonał?
    Firma Play w swoich rękach skupia dane osobowe tysięcy konsumentów więc forma zabezpieczeń również powinna być adekwatna do tej liczby. Bo jak się czegoś nie umie robić dokładnie to się tego nie robi, a jak się już za cos zabiera to ponoszenie konsekwencji swoich działań jest wpisane w to działanie – proste. Dziwi mnie, że taka usługa nie miała dodatkowej weryfikacji np. w postaci kodu sms, gdy jest ona włączana poprzez play24. Dzwoniąc na infolinię w celu prowadzenia dalszej rozmowy użytkownik jest proszony o kod abonencki a tu przy uruchamianiu usługi żadna dodatkowa weryfikacja nie jest wymagana? Uważam, że skoro ktoś przy użyciu komputera ma uzyskać takie same prawa jak ja (posiadaczka numer) do zarządzania moim numerem, ja osobiście powinnam to potwierdzić np. poprzez wyrażenie zgody za pomocą wpisania kodu z smsa. Jeśli usługa byłaby włączana przez osoby postronne wiedziałabym, że ktoś próbuje włamać się na moje konto Play oraz brak potwierdzenia z mojej strony odcięłoby dostęp tym osobom do dalszych przestępstw.
    A poza tym skoro sprzedajecie taką usługę to warto również wiedzieć komu ją sprzedajecie – czy mając dowód swojego rodzica mogę iść do banku po kredyt – nie, a tu ktoś mógł kupić usługę bez potwierdzenia tożsamości?
    A wracając do tekstu to osobiście nie znam producenta noży, który po dokonaniu zbrodni przy użyciu jego produkty nagle wycofuje produkt z rynku! Play właśnie to zrobił ;) Myśli nasuwają tylko jedno stwierdzenie.Raportuj

  25. Marek napisał(a):

    Wina lezy wylacznie po stronie banku. Bank powinien monitorowac czy procedury ktore wprowadzil sa bezpieczne i z chwila wprowadzenia uslugi TelePlay wylaczyc mozliwosc autoryzacji transakcji przez telefony w sieci Play.Raportuj

  26. Zenon napisał(a):

    Marek, faktycznie mistrzostwo świata, wina banku? Otóż bank stworzył świetne narzędzie do weryfikacji klienta na podstawie jednorazowych kodów SMS wysyłanych na jego numer telefonu, bank nie odpowiada za to że operator daje możliwość kierowania tych bądź co bądź poufnych SMSów w inne miejsca i to tym bardziej bez wyraźnej zgody klienta. To równie absurdalne jak winić producenta zamka zamontowanego w Twoim domu że ktoś wyjął klucz spod wycieraczki i wszedł do środka. Klucze czyli kody SMS trzeba chronić.Raportuj

  27. Gol napisał(a):

    Play modernizuje Play24, czyżby poszli po rozum do głowy i zaczęli uszczelniać dostęp do tego sita jakim jest Play24?Raportuj

  28. fg napisał(a):

    No cóż – z tego co widzę to nie jesteście producentem noży tylko rewolwerów. A jeśli się daje rewolwer małpie… A później głupie tłumaczenia że to ona pociągneła za spust.Raportuj

  29. dzikus napisał(a):

    ” aktywowanie na koncie abonenckim ofiary usługi TelePlay przez stronę internetową tele.play.pl (a nie za pomocą SMS-a, co wymagało podania hasła jednorazowego do aktywacji usługi)”

    Acha czyli mogliśmy nie dopuścić do kradzieży waszych pieniędzy ale mieliśmy gdzieś zasady bezpieczeństwa i woleliśmy wygodne dla złodziei rozwiązanie. Żenada.

    Odpowiadanie na opublikowany artykuł – też żenada. Nie prościej było współpracować z dziennikarzem, który 3x próbował się z wami skontaktować przed publikacją?Raportuj

Dodaj komentarz

Przed napisaniem komentarza zapoznaj się z Regulaminem korzystania z bloga jeśli Twój komentarz nie wyświetli się od razu, poczekaj cierpliwie na jego publikację.

Przypięte posty