Każdy może wyciągnąć dane klientów sklepu NEONET
NEONET to sklep, który sprzedaje przeróżne artykuły elektroniczne, zaczynając lodówek, a kończąc na podzespołach komputerowych. Każda tego typu firma przetwarza bardzo dużo poufnych danych, które muszą być odpowiednio chronione. Nikt z nas nie byłby z pewnością zadowolony, gdyby w sieci można było znaleźć nasz adres zamieszkania, czy też numer konta bankowego. Jeżeli posiadacie konto w sklepie NEONET to bardzo możliwe, że Wasze dane mogły wpaść w ręce niepowołanych osób. Cała historia zaczęła się od tego, że pewien użytkownik wyraził swoje niezadowolenie z faktu, jak firma NEONET chroni dane osobowe swoich klientów. Odnalazła ona bardzo trywialną lukę – podczas wypełniania jednego z dostępnych na witrynie formularzy możemy tak zmanipulować pewne pole, że strona wyświetli nam szczegółowe dane dotyczące dowolnej reklamacji, która została złożona w tym sklepie.
Nikt nie jest doskonały i każdemu zdarza się popełniać nawet trywialne błędy, jednak odkrywca luki nie zgłosił tego faktu bezpośrednio do sklepu, tylko ogłosił go na publicznie dostępnej stronie internetowej. Krok po kroku opisał jak można wykorzystać lukę i wyciągnąć dzięki niej dane. Jeżeli będziemy postępować według przedstawionych wytycznych, otrzymamy taki wynik naszych prac:
Klienci sklepu z pewnością będą na oku spamerów, którzy otrzymają nową bazę adresów e-mail.
Jak widać, bardzo wiele danych jest tutaj podanych jak na tacy, więc z pewnością wiele osób będzie miało chrapkę na tak pokaźny zbiór prywatnych informacji. Całą sytuacją zainteresowała się Zaufana Trzecia Strona, która potwierdziła obecność błędu i wystosowała odpowiednią wiadomość do sklepu NEONET. Niestety brak reakcji sklepu skłonił ją do poinformowana o tym błędzie większe grono zainteresowanych, bez podawania oczywiście szczegółów jak go w praktyce wykorzystać. Dla chcącego nic trudno i każdy, kto włoży choć trochę wysiłku może w sieci znaleźć wspomnianą witrynę, która umożliwi zapoznanie się ze szczegółami odnośnie ataku.
Aktualizacja!
Błąd został załatany.
Źródło: Zaufana Trzecia Strona
Powiązane publikacje
VPN by Google One - kolejna usługa zmierza na firmowy cmentarz. Jednak nie wszyscy utracą do niej dostęp
11
Wyszukiwarka Google - pełna wersja usługi może wkrótce stać się płatna. Firma rozważa opłaty za dodatkowe funkcje AI
41
Sieć 5G Advanced już funkcjonuje w Chinach i pozwala osiągnąć ogromne prędkości. Obsłużą ją smartfony z serii Oppo Find X7
37
Stellar Blade - nowa zapowiedź obiecującego action RPG. Podano datę premiery wersji demo na PlayStation 5
11
