Każdy może wyciągnąć dane klientów sklepu NEONET
NEONET to sklep, który sprzedaje przeróżne artykuły elektroniczne, zaczynając lodówek, a kończąc na podzespołach komputerowych. Każda tego typu firma przetwarza bardzo dużo poufnych danych, które muszą być odpowiednio chronione. Nikt z nas nie byłby z pewnością zadowolony, gdyby w sieci można było znaleźć nasz adres zamieszkania, czy też numer konta bankowego. Jeżeli posiadacie konto w sklepie NEONET to bardzo możliwe, że Wasze dane mogły wpaść w ręce niepowołanych osób. Cała historia zaczęła się od tego, że pewien użytkownik wyraził swoje niezadowolenie z faktu, jak firma NEONET chroni dane osobowe swoich klientów. Odnalazła ona bardzo trywialną lukę – podczas wypełniania jednego z dostępnych na witrynie formularzy możemy tak zmanipulować pewne pole, że strona wyświetli nam szczegółowe dane dotyczące dowolnej reklamacji, która została złożona w tym sklepie.
Nikt nie jest doskonały i każdemu zdarza się popełniać nawet trywialne błędy, jednak odkrywca luki nie zgłosił tego faktu bezpośrednio do sklepu, tylko ogłosił go na publicznie dostępnej stronie internetowej. Krok po kroku opisał jak można wykorzystać lukę i wyciągnąć dzięki niej dane. Jeżeli będziemy postępować według przedstawionych wytycznych, otrzymamy taki wynik naszych prac:
Klienci sklepu z pewnością będą na oku spamerów, którzy otrzymają nową bazę adresów e-mail.
Jak widać, bardzo wiele danych jest tutaj podanych jak na tacy, więc z pewnością wiele osób będzie miało chrapkę na tak pokaźny zbiór prywatnych informacji. Całą sytuacją zainteresowała się Zaufana Trzecia Strona, która potwierdziła obecność błędu i wystosowała odpowiednią wiadomość do sklepu NEONET. Niestety brak reakcji sklepu skłonił ją do poinformowana o tym błędzie większe grono zainteresowanych, bez podawania oczywiście szczegółów jak go w praktyce wykorzystać. Dla chcącego nic trudno i każdy, kto włoży choć trochę wysiłku może w sieci znaleźć wspomnianą witrynę, która umożliwi zapoznanie się ze szczegółami odnośnie ataku.
Aktualizacja!
Błąd został załatany.
Źródło: Zaufana Trzecia Strona
Powiązane publikacje
Iran próbuje opodatkować ruch danych przez Ormuz. Problemem nie są tylko kable, ale też naprawy i kontrola trasy
42
Mniej miejsca na Gmail i Dysku Google przy zakładaniu konta Google bez numeru telefonu. Trwają testy
49
WhatsApp Plus - testowa subskrypcja dla komunikatora od firmy Meta. Sprawdź, co wprowadza i ile kosztuje
26
Rodzice mogą całkowicie wyłączyć YouTube Shorts swoim dzieciom. Nowe funkcje limitu czasu na platformie Google
35
