Jeden z popularnych sklepów internetowych w Polsce znowu zaliczył potężną wpadkę. Luka w zabezpieczeniach pozwoliła na dotarcie do adresu e-mail, numeru telefonu i kwoty zamówienia złożonego przez dowolnego klienta. Kluczem był wyłącznie numer zamówienia… Jak przedsiębiorstwo skomentowało tę sytuację?
Znowu ten sam sklep internetowy zaliczył wpadkę
Zakupy w sieci robimy bardzo często. Wybór sklepów online jest ogromny – od popularnych sieci handlowych, aż po serwisy, takie jak Allegro, Amazon czy Morele.net. Ten ostatni e-commerce działa już od ponad 20 lat, a w 2018 roku padł ofiarą hakerów, czego efektem był wyciek danych. Wydawać by się mogło, że taka sytuacja powinna nauczyć przedsiębiorstwo rzetelnego podejścia do bezpieczeństwa swoich klientów, ale jak widać – nie nauczyła. Co gorsza, tym razem do wykradzenia danych nie trzeba było nawet hakerów…
Na Morele.net znaleziono poważną lukę. Wystarczyło znać numery zamówień, aby można było zapoznać się z kwotą zakupów, a także powiązanym z nimi adresem e-mailowym czy numerem telefonu klienta. O sprawie poinformowano na stronie Zaufana Trzecia Strona.
Jak wynika z przekazanych informacji, do redakcji zgłosił się Czytelnik o pseudonimie Norsu. Użytkownik ten próbował dokonać zakupu na raty, jednak wniosek wygenerowany na platformie zakupowej miał błędy. Odkrywca zaczął poszukiwać przyczyny tego zjawiska.
Okazało się, że wnioski ratalne publikowane są pod adresem https://morele.net/raty/[ID ZAMÓWIENIA]. Wystarczyło podmienić numer ID zamówienia na inny, a w formularzu pojawiły się dane dotyczące zamówienia innego użytkownika. Była to więc luka w zabezpieczeniach typu IDOR (Insecure Direct Object Reference). Jedynym wymogiem, aby uzyskać dostęp do danych, była konieczność zalogowania się, jednak wystarczyło zrobić to na dowolnym koncie, w żaden sposób niepowiązanym z zamówieniem. Co ciekawe, w ten sposób można było dotrzeć do danych każdego klienta, który złożył i opłacił zamówienie już wcześniej.
Sklep Morele.net rozwiązał problem w ciągu dwóch godzin od zgłoszenia
Sprawę zbadał redaktor witryny Zaufana Trzecia Strona, który założył konto w Morele.net na tymczasowego maila. Po zalogowaniu użył witryny https://morele.net/raty/[ID ZAMÓWIENIA] z numerem ID zamówienia sprzed kilku lat. Po kilku sekundach okazało się, że ta ogromna i popularna w Polsce platforma e-commerce faktycznie popełniła taki błąd. W formularzu ratalnym zostały wyświetlone dane, takie jak kwota zamówienia, adres mailowy, a nawet numer telefonu.
Sprawa została zgłoszona do CIO sklepu Morele.net. Firma zareagowała prawie natychmiastowo. W ciągu dwóch godzin problem został usunięty. Co ciekawe, przedstawiciele platformy twierdzą, że w ramach przeprowadzonej analizy „ewentualne wykorzystanie podatności było ograniczone i wymagało jednoczesnego spełnienia kilku warunków”. Według firmy nie doszło do wykorzystania tej podatności i nieuprawnionego pozyskania danych.
