Cyberzagrożenia

Komputronik umożliwia podgląd danych klientów

Adresy zamieszkania (dostawy), numery telefonów i adresy e-mail klientów Komputronika można było wyciągnąć przy pomocy podręcznikowego błędu …wystarczyło zmieniać wartość parametru ID na stronie z potwierdzeniem zamówienia.

Błąd w sklepie Komputronika zgłosił nam jeden z naszych czytelników (nazwisko do wiadomości redakcji).

Złożyłem przed chwilą zamówienie w chyba największym sklepie komputerowym w Polsce – Komputronik. W potwierdzeniu zamówienia znajduje się link do strony, na której można sprawdzić jego status. Okazuje się, że zmieniając id zamówienia (kolejna liczba całkowita), można przeglądać zamówienia innych osób. Warunek – trzeba być zalogowanym do koszyka.
Strona ujawnia wszystko, co związane jest z zamówieniem, łącznie z adresem pocztowym odbiorcy, emailem, telefonem, cenami, metodą płatności.
Przesyłam przykładowy link: https://www.komputronik.pl/customer/pl/profile/tab/orderDetails/orderId/{NUMER_ZAMOWIENIA}

Podgląd zamówienia zawiera informacje o kupionych przedmiotach i ich cenach

Zamówienie zawiera też dane klienta i handlowca

W sprawie powyższego błędu skontaktowaliśmy się z Komputronikiem i już po godzinie od zgłoszenia otrzymaliśmy informację, że błąd został usunięty, o czym poinformował nas Jan Magnuszewski:

Strona Komputronik regularnie podlega testom bezpieczeństwa. Kilka miesięcy temu platforma przechodziła wnikliwy test penetracyjny który wykazał, że nie występują żadne poważne zagrożenia. Należy jednak mieć na uwadze, że współczesne wymagania rynkowe wymuszają nieustanną potrzebę rozwoju platformy sprzedażowej a każdy rozwój niesie za sobą ryzyko powstawania nowych błędów, które na etapie kolejnych testów- tych przed i powdrożeniowych- są eliminowane. W takim przypadku, ostatnia aktualizacja wprowadziła błąd umożliwiający- poprzez modyfikację url-a- dostęp do treści zamówień niektórych kontrahentów. Nie występowała jednak możliwość uzyskania wyższych uprawnień ani zmiany tożsamości wewnątrz systemu. Stosowna poprawka została już naniesiona a sytuacja ta implikuje natychmiastowy, ponadprogramowy przegląd kodu naszego sklepu.

Jak widać sklep zareagował błyskawicznie i należą mu się za to pochwały. Nie wiemy niestety, czy ktoś skorzystał w przeszłości z tego błędu i pobrał bazę klientów Komputronika — wiemy za to, że pół roku temu Komputronik w pośpiechu wymuszał zmianę haseł tłumacząc to “względami bezpieczeństwa”…

Mamy też jeszcze jedno zastrzeżenie…

Komputronik spamuje

Od czasu pierwszego kontaktu z Komputronikiem, nasz redakcyjny adres e-mail, z którego poinformowaliśmy sklep o błędzie został dodany do spamlisty Komputronikowej (czyżby przez pracowników z działu IT?).

Otrzymaliśmy już 4 niechciane wiadomości od niejakiej Anny Patury z corepr.pl (zapewne agencji, która obsługuje Komputronika). Za każdym razem prosiliśmy Panią Annę o usunięcie naszego adresu e-mail z listy. Bezskutecznie — Pani Anna ani razu nie odpowiedziała na naszego e-maila — to się nazywa komunikatywność! Raz przyszedł też spam od Pana Michała z corepr.pl — ale ten zareagował na naszą (4 z kolei prośbę) i poinfomował, że nasz adres e-mail usuwa. Ale chyba procedura usunięcia nie wyszła… bo dziś znów zaspamowała nas pani Anna Patura.

Czy pracownicy Komputronika, którzy czytają serwis Niebezpiecznik.pl byliby tak łaskawi i usunęli nasz adres e-mail równie sprawnie, jak błąd pozwalający na dostęp do danych klientów?

PS. Podobne błędy pozwalające na enumerację parametru i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzierządowego serwisu z księgami wieczystymi.

Aktualizacja 13:00
Tekst został zaktualizowany o poprawną domenę agencji reklamowej. Chodziło o corepr.pl, a nie core.pl.

Aktualizacja 17:00
Otrzymaliśmy zapewnienia od Pani Ani, że więcej e-maili już nie otrzymamy.

źródło: www.niebezpiecznik.pl





Dodaj komentarz