Każdy może wyciągnąć dane klientów sklepu NEONET
NEONET to sklep, który sprzedaje przeróżne artykuły elektroniczne, zaczynając lodówek, a kończąc na podzespołach komputerowych. Każda tego typu firma przetwarza bardzo dużo poufnych danych, które muszą być odpowiednio chronione. Nikt z nas nie byłby z pewnością zadowolony, gdyby w sieci można było znaleźć nasz adres zamieszkania, czy też numer konta bankowego. Jeżeli posiadacie konto w sklepie NEONET to bardzo możliwe, że Wasze dane mogły wpaść w ręce niepowołanych osób. Cała historia zaczęła się od tego, że pewien użytkownik wyraził swoje niezadowolenie z faktu, jak firma NEONET chroni dane osobowe swoich klientów. Odnalazła ona bardzo trywialną lukę – podczas wypełniania jednego z dostępnych na witrynie formularzy możemy tak zmanipulować pewne pole, że strona wyświetli nam szczegółowe dane dotyczące dowolnej reklamacji, która została złożona w tym sklepie.
Nikt nie jest doskonały i każdemu zdarza się popełniać nawet trywialne błędy, jednak odkrywca luki nie zgłosił tego faktu bezpośrednio do sklepu, tylko ogłosił go na publicznie dostępnej stronie internetowej. Krok po kroku opisał jak można wykorzystać lukę i wyciągnąć dzięki niej dane. Jeżeli będziemy postępować według przedstawionych wytycznych, otrzymamy taki wynik naszych prac:
Klienci sklepu z pewnością będą na oku spamerów, którzy otrzymają nową bazę adresów e-mail.
Jak widać, bardzo wiele danych jest tutaj podanych jak na tacy, więc z pewnością wiele osób będzie miało chrapkę na tak pokaźny zbiór prywatnych informacji. Całą sytuacją zainteresowała się Zaufana Trzecia Strona, która potwierdziła obecność błędu i wystosowała odpowiednią wiadomość do sklepu NEONET. Niestety brak reakcji sklepu skłonił ją do poinformowana o tym błędzie większe grono zainteresowanych, bez podawania oczywiście szczegółów jak go w praktyce wykorzystać. Dla chcącego nic trudno i każdy, kto włoży choć trochę wysiłku może w sieci znaleźć wspomnianą witrynę, która umożliwi zapoznanie się ze szczegółami odnośnie ataku.
Aktualizacja!
Błąd został załatany.
Źródło: Zaufana Trzecia Strona
Powiązane publikacje
Meta kontra FTC. Kevin Systrom ujawnia, że Mark Zuckerberg postrzegał Instagram jako zagrożenie dla Facebooka
23
OpenAI rozważa zakup przeglądarki Chrome od Google, co oznacza potencjalną rewolucję w dostępie do sztucznej inteligencji
22
Użytkownicy skarżą się, że ChatGPT zbyt często ich chwali. Czy sztuczna inteligencja przestała mówić prawdę?
44
Facebook traci znaczenie wśród młodszych pokoleń. Wewnętrzne e-maile Meta pokazują rosnące problemy z atrakcyjnością platformy
57
