Komputronik umożliwia podgląd danych klientów

Komputronik umożliwia podgląd danych klientów

Błąd w sklepie Komputronika zgłosił nam jeden z naszych czytelników (nazwisko do wiadomości redakcji).

Błąd Komputronika

Adresy zamieszkania (dostawy), numery telefonów i adresy e-mail klientów Komputronika można było wyciągnąć przy pomocy podręcznikowego błędu. Wystarczyło zmieniać wartość parametru ID na stronie z potwierdzeniem zamówienia. Błąd w sklepie Komputronika zgłosił nam jeden z naszych czytelników (nazwisko do wiadomości redakcji).

Złożyłem przed chwilą zamówienie w chyba największym sklepie komputerowym w Polsce – Komputronik. W potwierdzeniu zamówienia znajduje się link do strony, na której można sprawdzić jego status. Okazuje się, że zmieniając id zamówienia (kolejna liczba całkowita), można przeglądać zamówienia innych osób. Warunek – trzeba być zalogowanym do koszyka. Strona ujawnia wszystko, co związane jest z zamówieniem, łącznie z adresem pocztowym odbiorcy, emailem, telefonem, cenami, metodą płatności. Przesyłam przykładowy link: https://www.komputronik.pl/customer/pl/profile/tab/orderDetails/orderId/{NUMER_ZAMOWIENIA}

Podgląd zamówienia zawiera informacje o kupionych przedmiotach i ich cenach

Zamówienie zawiera też dane klienta i handlowca

W sprawie powyższego błędu skontaktowaliśmy się z Komputronikiem. Już po godzinie od zgłoszenia otrzymaliśmy informację, że usunęli błąd, o czym poinformował nas Jan Magnuszewski:

Strona Komputronik regularnie podlega testom bezpieczeństwa. Kilka miesięcy temu platforma przechodziła wnikliwy test penetracyjny który wykazał, że nie występują żadne poważne zagrożenia. Należy jednak mieć na uwadze, że współczesne wymagania rynkowe wymuszają nieustanną potrzebę rozwoju platformy sprzedażowej a każdy rozwój niesie za sobą ryzyko powstawania nowych błędów, które na etapie kolejnych testów- tych przed i powdrożeniowych- są eliminowane. W takim przypadku, ostatnia aktualizacja wprowadziła błąd umożliwiający- poprzez modyfikację url-a- dostęp do treści zamówień niektórych kontrahentów. Nie występowała jednak możliwość uzyskania wyższych uprawnień ani zmiany tożsamości wewnątrz systemu. Stosowna poprawka została już naniesiona a sytuacja ta implikuje natychmiastowy, ponadprogramowy przegląd kodu naszego sklepu.

Jak widać sklep zareagował błyskawicznie i należą mu się za to pochwały. Nie wiemy niestety, czy ktoś skorzystał w przeszłości z tego błędu i pobrał bazę klientów Komputronika — wiemy za to, że pół roku temu Komputronik w pośpiechu wymuszał zmianę haseł tłumacząc to “względami bezpieczeństwa”… Mamy też jeszcze jedno zastrzeżenie…

Komputronik spamuje

Od czasu pierwszego kontaktu z Komputronikiem, nasz redakcyjny adres e-mail, z którego poinformowaliśmy sklep o błędzie został dodany do spamlisty Komputronikowej (czyżby przez pracowników z działu IT?). Otrzymaliśmy już 4 niechciane wiadomości od niejakiej Anny Patury z corepr.pl (zapewne agencji, która obsługuje Komputronika). Za każdym razem prosiliśmy Panią Annę o usunięcie naszego adresu e-mail z listy. Bezskutecznie — Pani Anna ani razu nie odpowiedziała na naszego e-maila — to się nazywa komunikatywność! Raz przyszedł też spam od Pana Michała z corepr.pl — ale ten zareagował na naszą (4 z kolei prośbę) i poinfomował, że nasz adres e-mail usuwa. Ale chyba procedura usunięcia nie wyszła… bo dziś znów zaspamowała nas pani Anna Patura. Czy pracownicy Komputronika, którzy czytają serwis Niebezpiecznik.pl byliby tak łaskawi i usunęli nasz adres e-mail równie sprawnie, jak błąd pozwalający na dostęp do danych klientów? PS. Podobne błędy pozwalające na enumerację parametru i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzierządowego serwisu z księgami wieczystymi.

Aktualizacja 13:00

Tekst został zaktualizowany o poprawną domenę agencji reklamowej. Chodziło o corepr.pl, a nie core.pl.

Aktualizacja 17:00

Otrzymaliśmy zapewnienia od Pani Ani, że więcej e-maili już nie otrzymamy. źródło: www.niebezpiecznik.pl

Oceń blog:
Czas czytania: 5 min
Data: 07.08.2014

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Forcepoint DSPM (Data Security Posture Management)

Forcepoint DSPM (Data Security Posture Management)

Wycena indywidualna
Zobacz więcej
Forcepoint DLP for Email

Forcepoint DLP for Email

Wycena indywidualna
Zobacz więcej
Sygnanet

Sygnanet - anonimowe, bezpieczne i proste w obsłudze narzędzie do przyjmowania zgłoszeń od sygnalistów.

4920.00 PLN
Zobacz więcej