Envato Elements - pobieraj co chcesz, ile chcesz

O serwisie iBood pisałem już kilka razy… Choćby ostatnio o „polowaniu”, czyli iBood Hunt…

Teraz niestety przyszła pora napisać chyba o poważnej luce w zabezpieczeniach na stronie, która umożliwia umożliwiała wgląd do danych osobowych związanych z zamówieniami…

Informacja o luce w zabezpieczeniach pojawiła się już jakiś czas temu… Specjalnie nie pisałem nic o tym, licząc że może ekipa odpowiedzialna za serwis szybko naprawi błąd…

Niestety, ale się chyba pomyliłem… A sama informacja jest już publicznie dostępna, choć moderatorzy na forum skrzętnie „pracują nad tym”…

Nie wiem od jak dawna faktycznie istnieje istniał ten błąd – ale nietrudno się domyśleć, że już zapewne po stronie „latają” latały skrypty agregujące nasze dane…

Zwłaszcza że rodzaj błędu temu mocno sprzyja:

Modyfikując jeden parametr w linku można można było podejrzeć dane osobowe związane z konkretnym/dowolnym – zamówieniem zrealizowanym w iBood.

Dane do których jest był dostęp to:

  • Imię i nazwisko
  • Login w serwisie
  • Adres na który zostało wysłane zamówienie
  • Adres e-mail
  • Numer telefonu

 

Głębokie ukrycie ;-)

Wystarczy wybrać:

Mój iBood > Moje zamówienia iBood > Zadaj pytanie (przy wybranym zamówieniu)

By przejść do „formularza kontaktowego”:

ibood_error_dane-osobowe_20130425

W którym widać nasze dane…

I teraz wystarczy TYLKO w pasku adresu zmienić „numer zamówienia” na dowolny inny:

http://www.ibood.com/pl/pl/contact/ordernumber,NR_ZAMÓWIENIA/

Jak widać – stopień skomplikowania zerowy… Tak zwane „głębokie ukrycie” jak nic ;-)

.

Zmiana danych

Niestety, ale nawet jeślo teraz zmienicie dane na „przypadkowe” niewiele to da – dane są wyciągane z bazy danych i dotyczą nie Waszego konta, tylko danych podanych w formularzu dla konkretnego zamówienia…

Jedyna informacja jaką można jeszcze „zataić” jest numer telefonu – do czego zachęcam…

.

GIODO

Wprawdzie iBood to serwis międzynarodowy, ale na polskiej stronie iBood, jak i na fakturach występuje polska spółka z o.o., a więc pewnie i GIODO mogłoby zainteresować się całą sprawą…

.

[Aktualizacja 2013.04.26, 10:15]

Wygląda na to, że dział IT zaczął działać – bo z formularza poznikały (tymczasowo) wszystkie dane osobowe…

Tak więc aktualizuje wpis również o informacje dotyczące samej luki – bo może dzięki temu ktoś zorientuje się, że i u niego tak się da…

.

PS. To jest akurat zrzut z mojego zamówienia – można było podejrzeć dane bez konieczności logowania się w serwisie… Bo pamiętajcie, że (m.in.) Polsce – dostęp do danych do których nie mamy prawa może być ściągany nawet jeśli do ich uzyskania nie przełamaliśmy żadnych zabezpieczeń – dlatego nie polecam przygotowywać skryptów które z agregują dane… Zwłaszcza, że zapewne już ktoś za Was to zrobił… Pozostała tylko kwestia co z tymi danymi zrobią te osoby… I kiedy staną się publiczne… :-(

PPS. I dla przypomnienia:

Art. 213 KK:
§ 2. Nie popełnia przestępstwa określonego w art. 212 § 1 lub 2, kto publicznie podnosi lub rozgłasza prawdziwy zarzut służący obronie społecznie uzasadnionego interesu;

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Envato Elements - pobieraj co chcesz, ile chcesz