Każdy może wyciągnąć dane klientów sklepu NEONET
NEONET to sklep, który sprzedaje przeróżne artykuły elektroniczne, zaczynając lodówek, a kończąc na podzespołach komputerowych. Każda tego typu firma przetwarza bardzo dużo poufnych danych, które muszą być odpowiednio chronione. Nikt z nas nie byłby z pewnością zadowolony, gdyby w sieci można było znaleźć nasz adres zamieszkania, czy też numer konta bankowego. Jeżeli posiadacie konto w sklepie NEONET to bardzo możliwe, że Wasze dane mogły wpaść w ręce niepowołanych osób. Cała historia zaczęła się od tego, że pewien użytkownik wyraził swoje niezadowolenie z faktu, jak firma NEONET chroni dane osobowe swoich klientów. Odnalazła ona bardzo trywialną lukę – podczas wypełniania jednego z dostępnych na witrynie formularzy możemy tak zmanipulować pewne pole, że strona wyświetli nam szczegółowe dane dotyczące dowolnej reklamacji, która została złożona w tym sklepie.
Nikt nie jest doskonały i każdemu zdarza się popełniać nawet trywialne błędy, jednak odkrywca luki nie zgłosił tego faktu bezpośrednio do sklepu, tylko ogłosił go na publicznie dostępnej stronie internetowej. Krok po kroku opisał jak można wykorzystać lukę i wyciągnąć dzięki niej dane. Jeżeli będziemy postępować według przedstawionych wytycznych, otrzymamy taki wynik naszych prac:
Klienci sklepu z pewnością będą na oku spamerów, którzy otrzymają nową bazę adresów e-mail.
Jak widać, bardzo wiele danych jest tutaj podanych jak na tacy, więc z pewnością wiele osób będzie miało chrapkę na tak pokaźny zbiór prywatnych informacji. Całą sytuacją zainteresowała się Zaufana Trzecia Strona, która potwierdziła obecność błędu i wystosowała odpowiednią wiadomość do sklepu NEONET. Niestety brak reakcji sklepu skłonił ją do poinformowana o tym błędzie większe grono zainteresowanych, bez podawania oczywiście szczegółów jak go w praktyce wykorzystać. Dla chcącego nic trudno i każdy, kto włoży choć trochę wysiłku może w sieci znaleźć wspomnianą witrynę, która umożliwi zapoznanie się ze szczegółami odnośnie ataku.
Aktualizacja!
Błąd został załatany.
Źródło: Zaufana Trzecia Strona
Powiązane publikacje
Mniej rozpraszaczy na YouTube. Google wprowadza na platformę zmiany, które inspirowane są opiniami użytkowników
31
Instagram z nowym rekordem aktywnych użytkowników. Według informacji od Marka Zuckerberga platforma stale rośnie w siłę
12
Ugoda w sprawie The Great 78 Project. Internet Archive ugina się pod presją wytwórni i ogranicza cyfrowe archiwum
31
Śmierć Charlie'ego Kirka wywołuje debatę nad algorytmami mediów społecznościowych. Utah wprowadza nowe przepisy
158
