Poor DTAC

Last week, I noticed that DTAC certificate expired, because of they didn’t renew SSL certificate (domain wifilogin.dtacbroadband.co.th). I tried to contact their support via facebook already on 19/03/2014, but I was disappointed in their responsed.

me: สวัสดีครับ เมื่อวานผม check เจอว่า SSL Certificate ของ Dtac wifi เพิ่งจะ expired ไปฝาก check ให้ด้วยครับ

dtac: ดีแทคบัดดี้ขอทราบข้อมูลเพิ่มเติมสักนิดนะคะ หมายถึงไม่สามารถเข้าล็อกอิน Wifi ได้ใช่หรือไม่่ค่ะ ขอทราบพื้นทีใช้งาน เบอร์มือถือที่ใช้งาน,ชื่อ นามสุกลผู้จดทะเบียน แล้วส่งกลับมาอีกครั้งดีแทคบัดดี้ยินดีตรวจสอบให้ค่ะ & ขอบคุณสำหรับข้อมูลค่ะ ดีแทคบัดดี้ขอทราบเบอร์โทรเพิ่มเติม เพื่อประสานงานไปยังทีมงานที่เกี่ยวข้องเพื่อรับทราบข้อมูลต่อไปค่ะ NU

me: 08xxxxxxxx ครับ ใช้งานได้ปรกติครับ แต้ไม่ปลอดภัย

dtac: ไม่ทราบว่าการใช้งาน Wifi คุณ xxx ยังติดปัญหาในส่วนไหนค่ะ ดีแทคบัดดี้ ยินดีตรวจสอบให้ค่ะ

me: ไม่ติดครับ แต่มันไม่ปลอดภัย ครับ หมายถึงว่าใครจะปลอมเป็น dtac WiFi ก็ได้เพราะ certificate มันไม่ valid แล้ว

dtac: สัญญาณ Wi-Fi ที่ชื่อว่า @dtac wifi ไม่สามารถปลอมแปลงได้นะคะ เนื่องจากต้องอยู่ในพื้นที่ที่บริษัทฯ ปล่อยสัญญาณตามจุดเท่านั้น และซิมการ์ดเป็นหมายเลขดีแทคเท่านั้นจึงจะค้นหาสัญญาณที่ชื่อว่า @dtac wifi ได้และชื่อ @dtac wifi เมื่อค้นหาจากเครื่องจะขึ้นชื่อนี้อัตโนมัติเปลี่ยนแปลงใดๆไม่ได้นะคะ

me: IPad ผมหาเจอนะครับ ไม่ได้ใส่ SIM ด้วย ถ้า wifi auto login ก็ว่าไปอย่างครับ แล้วก็ hotspot นี่ปลอมโครตง่ายเลยครับ

dtac: สำหรับ dtac wifi จะเปิดให้บริการเฉพาะบางพื้นที่เท่านั้นค่ะ แต่หากเป็นการแชร์สัญญาณ wifi จากเครื่องมือถือเอง ก็สามารถตั้งล็อคด้วยรหัสผ่านได้นะคะ และในการตั้งชื่อ wifi ของแต่ละคนก็จะแตกต่างกันไปค่ะ ^^

me: ผมต้อง proof ยังไงถึงจะเชื่อครับ? มันทำได้แน่ๆ แค่ report หัวหน้าพี่ไปก็พอแล้วแล้วครับ

(The replied from Dtac is all about, their wifi secured, noone can fake their hotspot, their wifi locked on and available only on Dtac SIM — that is completly wrong)

my first reaction when I read the replied is What the fuck, I’m your customer over 10 years. I concerned in my security, I report to the right channel. Why don’t you just stop an listen your customer.

from my understanding WIFI was designed for personal used, so It not secured like other broadcasting network. the only thing that make public wifi secure is use other method to recoginized your device and base station. Dtac uses redius server to authenthicate their customer, but once their certificate expired, this not quarantee that web authenthicator is from Dtac or not.

Google: Evil twin, Rogue AP etc.

And Good Luck if you’re using Dtac WIFI