2018/03/15

MEO exibe password da rede WiFi dos clientes


Cuidado com a password para a rede WiFi que introduzirem num router MEO, pois essa mesma password irá ficar guardada nos registos da MEO, sendo até exibida sem qualquer protecção na área do cliente.

Quem imaginasse que uma password colocada num equipamento local permanecesse privada e "no local", poderá ser surpreendido pelo facto da password que definiu para a rede WiFi num router MEO passar a ser exibida em "plain text" na sua área de cliente - o que seguramente não irá agradar a quem gostar de manter as suas passwords privadas.



O caso foi-nos relatado por um dos nossos leitores, que compreensivelmente não gostou de ver uma das suas passwords exibidas de forma bem visível no ecrã do seu computador (aparentemente também se pode vê-la na TV na área equivalente da box).

Mesmo considerando que é uma informação que apenas está acessível na área do cliente, será no mínimo bastante questionável porque motivo a MEO se acha no direito de poder recolher uma password introduzida num equipamento local para a guardar nos seus registos - ainda por cima sem dar qualquer indicação ao cliente de que isso será feito. Embora não seja recomendável, imagine-se que o utilizador até usa a mesma password para outros serviços, e que assim poderão ser vistas não só por funcionários da MEO, como potencialmente ficar em risco em caso de ataques que consigam roubar estas bases de dados.

Fica portanto reforçada a recomendação de que usem passwords diferenciadas para todos os serviços... e no caso do WiFi do MEO, tenham consciência de que é uma passwords que automaticamente irá andar a passear "por aí"...

31 comentários:

  1. Quando forem processados pela falta de implementação do GPDR aprendem

    ResponderEliminar
  2. Confirma-se que realmente os nossos dados de rede estão expostos na área de cliente do MEO e também acontece o mesmo para os clientes empresarias com a agravante da Altice/Meo estar a expor dados de empresas. É um caso para ser analisado ao abrigo na nova Lei de proteção de dados.

    ResponderEliminar
    Respostas
    1. As provas:
      https://ibb.co/nd7x9c
      https://ibb.co/jFvpNx

      Eliminar
  3. Mas isso sempre apareceu, lembro de ver na TV na área de cliente a minha password.

    ResponderEliminar
    Respostas
    1. E acha isso normal? São clientes assim que votam a MEO como marca de confiança do ano!

      Eliminar
  4. Tenham masé vergonha... este operador está cada vez mais vergonhoso, alem de cobrar detalhes nas faturas e taxas de religacão exorbitantes ainda faz destas... deviam ter vegonha e não fazer da rede domestica dos clientes uma rede sua, vejamos, eles têm controlo total sobre a m€rd@ de routers que instalam, o cliente não tem possibilidade de escolher o que quer fazer na sua rede privada sem que eles metam o bedelho... agora ainda vêm guardar bases de dados sobre as redes privadas de cada um... com as cada vez mais habituais "casas inteligentes" está-se mesmo a ver o que vai acontecer um dia destes... limitem-se a fornecer apenas aquilo para o qual são contratados, servidos de telecomunicações... ja chega de facebook's

    ResponderEliminar
  5. Não querendo ser advogado do diabo, mas apesar de lhe chamarem password deviam chamar chave...

    ResponderEliminar
  6. Então mas a MEO não é aquela operadora cheia de Prémios e Distinções (Prémio 5 Estrelas 2018, Produto do Ano 2018, Escolha do Consumidor 2018 e Escolha do Consumidor Exellentia 2018)?

    ResponderEliminar
  7. Não é questão de achar normal. Só disse que sempre assim foi Agora é que fazem tanto barulho ? A mim não me incomoda embora saiba que cada vez estão mais ilegais

    ResponderEliminar
  8. Sim, sempre foi assim. A password sempre apareceu na area de cliente na set-top-box.
    O equipamento é do operador, qual o vosso problema? O operador faz gestão remota do mesmo via TR69, por isso faz update de fw, provisão, etc... Não querem, ponham outro equipamento a fazer de AP.

    ResponderEliminar
    Respostas
    1. O "problema" é um cliente não ser informado que a password que vai meter num equipamento local irá andar a "passear" e ficar registada sabe-se lá onde. Considerando que pelo menos um outro operador faz questão de *não fazer* isto, precisamente por achar que seria um abuso... acho que demonstra bem as diferentes atitudes que os mesmos têm com a privacidade dos seus clientes...

      Eliminar
    2. O facto do "sabe-se lá onde" aplica-se a todas as informaçoes que os ISP tem tuas, Dados Pessoais, CDR, facturação..etc etc. Sabe-se lá onde são armazenadas, por quem são acedidos, etc etc etc...

      Eliminar
    3. Certíssimo, mas isso são dados que o cliente *lhes dá* com o seu consentimento.
      De certo concordarás que uma password que estás a meter no "teu" router não será algo que esperas fazer parte dessas coisas (ainda para mais não sendo indicado que essa password irá ter esse tratamento).

      Eliminar
    4. Já experimentaram desligar o router e efetuar uma leitura da password? A mesma não está guardada 'sabe-se lá onde'... é lida em realtime do equipamento.

      Eliminar
    5. Não deixará de ser uma falha flagrante de segurança ter uma "função" que permite ler a password por um serviço externo.
      A password nunca devia sair do router, fosse de que forma fosse - um bom compromisso será o que faz a VDF, que quando pede a password ao router, apenas revela alguns caracteres iniciais/finais da passwords... Já pode servir para dar a ajuda para os esquecidos, sem ter a password completa a ser exibida.

      Eliminar
    6. Temos de ter em conta que estes dados aparecem no portal de cliente, via https, após autenticação do cliente, consultando diretamente o equipamento.
      Concordo que não deveria aparecer de imediato com todos os caracteres.
      No entanto, apenas quero referir as falhas neste artigo. Um dos melhores blogs tecnológicos de Portugal deveria ter algum cuidado antes de publicar factos não confirmados, tipo:
      - "...pois essa mesma password irá ficar guardada nos registos da MEO..."
      - "...a MEO se acha no direito de poder recolher uma password introduzida num equipamento local para a guardar nos seus registos..."
      - "...ficar em risco em caso de ataques que consigam roubar estas bases de dados."
      - "...e no caso do WiFi do MEO, tenham consciência de que é uma passwords que automaticamente irá andar a passear "por aí"..."

      Eliminar
    7. A partir do momento que podes estar na china a aceder ao teu portal de cliente e ver a tua password na página, é mais que certo que já andou a "passear por aí" - e para isso *não* *há* *desculpa* e penso que não se justifica andar a tentar arranjar "paninhos quentes" para minimizar a situação.

      É algo que está mal, foi apontado, há que ser corrigido (se quem de direito achar o mesmo). (E desculpem-me se não acho que as justificações do tipo "mas sempre foi assim" possam servir para desculpar isto - que na realidade, nem sequer me afecta, pois nunca fui cliente MEO - sendo que para além do mais, também já demonstrei por repetidas vezes que não tenho qualquer pudor em criticar os operadores de que sou cliente quando estão mal (desde o MEO com o seu famoso traffic shaping e limites do ilimitado; ou a Vodafone sem forma de limitar o consumo de dados ao limite contratado para não se pagar dados extra, ou também o zero rating do Yorn X e afins...)

      Eliminar
    8. Gostar de um serviço ou até estar satisfeito com ele não impede que se possa apontar os pormenores que estejam mal e devem ser corrigidos; e muito me surpreende (e fascina) que tantas pessoas pareçam levar qualquer crítica a um serviço - mesmo quando são situações tão indesculpáveis quanto esta - tão a peito...

      Eliminar
    9. Carlos, calma... :) eu só referi que o artigo menciona factos que não são verídicos, não é preciso levar "tão a peito"...
      Concordei que não deveriam ser mostrados todos os caracteres de imediato e expliquei que não são guardados os dados. Apenas isso.
      Também sei que é moda falar mal dos operadores de telecomunicações... e ambos sabemos que gera bastante tráfego e partilhas nas redes sociais. ;)

      Eliminar
    10. O ser verídicos é algo que só os clientes MEO poderão comprovar (o que não é o meu caso). Como foi dito, bastará tentarem aceder à zona de cliente fora de casa, com o router desligado, e verem se a password aparece. Se aparecer, comprova-se que é guardada pela MEO; se nao aparecer, estará a vir directamente do router... o que é apenas "um pouquinho menos mau".

      Eliminar
  9. Este comentário foi removido pelo autor.

    ResponderEliminar
    Respostas
    1. None taken... Já sabem que estamos cá para "discutir" no bom sentido. :)

      Eliminar
    2. Removi este porque estava fora da "thread"...

      Eliminar
  10. boas,
    fiz o que o Carlos referiu, com o router desligado não aparece a password mas apenas ---, ou seja efetivamente só aparece se estiver em comunicação com o router...mas isto não invalida que a password já esteja do lado de lá ;)
    de facto, a definição de privacidade não é igual para todos

    ResponderEliminar
  11. Infelizmente não é nenhuma novidade para mim, já o sei aos anos, pois já tinha verificado que não só o nome da rede e a palavra-chave estavam na área de clientes, como até após uns problemas com o modem/ router verifiquei que eles conseguiam saber se estavam aparelhos sem fios ligados ou não, além é claro de conseguirem saber se o Wi-Fi estava activado ou não.
    Por tudo isto desde o segundo ou terceiro dia depois da instalação que o Wi-Fi esteve sempre desligado, e o Wi-Fi tem estado sempre disponível através de outro aparelho ligado ao modem/ router da MEO... que ainda tem outras vantagens como permitir que se defina os DNS's coisa que o modem/ router do MEO não permite pois coloca sempre o do próprio aparelho em primeiro lugar sem dar hipótese de alterar essa definição.

    ResponderEliminar
  12. são os piores ladrões que alguma vez conheci prefiro não ter net que pagar um serviço da Meo!! Os nossos dados são a base de dados deles não existe privacidade.

    ResponderEliminar
  13. São os piores ladrões que alguma vez conheci,prefiro não ter net que pagar por um serviço Meo, os nossos dados estam completamente expostos não existe privacidade!

    ResponderEliminar
  14. Vocês na entendem nada disso...As únicas paswords acessìveis são as passwords que vêm por defeito...mesmo que a operadora tenha acesso a uma password modificada será por necessidade de uma intervenção remota por parte deles e não vão guardar as vossa passes em nenhuma base de dados...e só tem acesso a ela de fora quem já tem acesso ao rooter em questão...tempestades em copos de água

    ResponderEliminar
  15. Posso pedir a alguém com MEO que me confirme que as passwords de origem são em hexadecimal (0-9 ou A-F) e de quantos caracteres é o seu comprimento?

    Obg!

    ResponderEliminar
    Respostas
    1. tambem queria saber mesmo assim sao 11TB com crlh!

      Eliminar
  16. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar