O serwisie iBood pisałem już kilka razy… Choćby ostatnio o „polowaniu”, czyli iBood Hunt…

Teraz niestety przyszła pora napisać chyba o poważnej luce w zabezpieczeniach na stronie, która umożliwia umożliwiała wgląd do danych osobowych związanych z zamówieniami…

Informacja o luce w zabezpieczeniach pojawiła się już jakiś czas temu… Specjalnie nie pisałem nic o tym, licząc że może ekipa odpowiedzialna za serwis szybko naprawi błąd…

Niestety, ale się chyba pomyliłem… A sama informacja jest już publicznie dostępna, choć moderatorzy na forum skrzętnie „pracują nad tym”…

Nie wiem od jak dawna faktycznie istnieje istniał ten błąd – ale nietrudno się domyśleć, że już zapewne po stronie „latają” latały skrypty agregujące nasze dane…

Zwłaszcza że rodzaj błędu temu mocno sprzyja:

Modyfikując jeden parametr w linku można można było podejrzeć dane osobowe związane z konkretnym/dowolnym – zamówieniem zrealizowanym w iBood.

Dane do których jest był dostęp to:

  • Imię i nazwisko
  • Login w serwisie
  • Adres na który zostało wysłane zamówienie
  • Adres e-mail
  • Numer telefonu

 

Głębokie ukrycie ;-)

Wystarczy wybrać:

Mój iBood > Moje zamówienia iBood > Zadaj pytanie (przy wybranym zamówieniu)

By przejść do „formularza kontaktowego”:

ibood_error_dane-osobowe_20130425

W którym widać nasze dane…

I teraz wystarczy TYLKO w pasku adresu zmienić „numer zamówienia” na dowolny inny:

http://www.ibood.com/pl/pl/contact/ordernumber,NR_ZAMÓWIENIA/

Jak widać – stopień skomplikowania zerowy… Tak zwane „głębokie ukrycie” jak nic ;-)

.

Zmiana danych

Niestety, ale nawet jeślo teraz zmienicie dane na „przypadkowe” niewiele to da – dane są wyciągane z bazy danych i dotyczą nie Waszego konta, tylko danych podanych w formularzu dla konkretnego zamówienia…

Jedyna informacja jaką można jeszcze „zataić” jest numer telefonu – do czego zachęcam…

.

GIODO

Wprawdzie iBood to serwis międzynarodowy, ale na polskiej stronie iBood, jak i na fakturach występuje polska spółka z o.o., a więc pewnie i GIODO mogłoby zainteresować się całą sprawą…

.

[Aktualizacja 2013.04.26, 10:15]

Wygląda na to, że dział IT zaczął działać – bo z formularza poznikały (tymczasowo) wszystkie dane osobowe…

Tak więc aktualizuje wpis również o informacje dotyczące samej luki – bo może dzięki temu ktoś zorientuje się, że i u niego tak się da…

.

PS. To jest akurat zrzut z mojego zamówienia – można było podejrzeć dane bez konieczności logowania się w serwisie… Bo pamiętajcie, że (m.in.) Polsce – dostęp do danych do których nie mamy prawa może być ściągany nawet jeśli do ich uzyskania nie przełamaliśmy żadnych zabezpieczeń – dlatego nie polecam przygotowywać skryptów które z agregują dane… Zwłaszcza, że zapewne już ktoś za Was to zrobił… Pozostała tylko kwestia co z tymi danymi zrobią te osoby… I kiedy staną się publiczne… :-(

PPS. I dla przypomnienia:

Art. 213 KK:
§ 2. Nie popełnia przestępstwa określonego w art. 212 § 1 lub 2, kto publicznie podnosi lub rozgłasza prawdziwy zarzut służący obronie społecznie uzasadnionego interesu;

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk