Sklep Morele.net nie szyfrował odnośników do faktur, które wystawiał swoim klientom | Tabletowo.pl

Sklep Morele.net nie szyfrował odnośników do faktur, które wystawiał swoim klientom

Dołącz do dyskusji 0

Nasze dane osobowe to coś, czego powinniśmy strzec jeszcze bardziej niż przysłowiowego oka w głowie – w końcu nigdy nie wiadomo, kiedy i kto postanowi zrobić z nich zły użytek. Nierzadko zdarza się jednak tak, że sami spuścimy na chwilę z oka swoje szczegółowe personalia, choć czasami nie dopilnuje ich ktoś inny. Tym razem małe potknięcie „zaliczył” sklep Morele.net.

Sklep internetowy Morele.net jest na tyle popularny, że prawdopodobnie nie muszę go przedstawiać nikomu z Was – sam niejednokrotnie robiłem tam zakupy. Warto jednak przypomnieć, że każdy zarejestrowany klient może, oczywiście po uprzednim zalogowaniu się na swoje konto, uzyskać dostęp do faktur za swoje poprzednie zamówienia.

Przykładowa faktura wystawiana przez Morele.net

Na powyższej grafice możecie zobaczyć, jak wygląda przykładowa faktura, wystawiana przez ten sklep. Jak sami widzicie, część danych jest zamazana, oczywiście nie bez powodu. Gorzej, że niemal dowolny użytkownik mógł uzyskać nieautoryzowany dostęp do czyichś dowodów zakupu.

http://www.morele.net/faktura_elektroniczna/4143178/d9c51b4f905ad73a40cdf74f1d09f20559737bd8f0a4fbc40cfede50e5424a4

Mniej więcej tak wygląda link, który otrzymuje użytkownik, chcący pobrać swoją fakturę. Gdzie tkwi problem? Ano w tym, że poprzez modyfikację tego linku dało się podejrzeć dokumenty, należące do innych klientów. Oczywiście nie każde podmienienie znaku dawało „pożądany” efekt, ale podobno skuteczność była całkiem wysoka.

Jak więc sami widzicie, „atak” na pewno nie mógł być w żaden sposób celowany i jeśli tylko ktoś miał dostęp do Waszej faktury, to trafił na nią metodą prób i błędów. Na szczęście, sam problem został już rozwiązany. W piątek redakcja portalu Niebiezpiecznik.pl skontaktowała się z obsługą sklepu przez formularz kontaktowy. Dwie godziny później odpowiedzi udzielił Wojciech Pawlik, przedstawiciel Morele.net:

Bardzo dziękuję za wskazanie tej luki – w tej chwili zgłosiliśmy poprawkę systemu w trybie natychmiastowym. Mam nadzieję, że rozwiązanie nie będzie skomplikowane i zaszyfrowanie linku będzie zrealizowane do poniedziałku.

Podobno na rozwiązanie problemu nie trzeba było czekać do poniedziałku, ponieważ już w piątek niemożliwe było podglądanie czyichś faktur.

Polecamy również:

Ups… Złodzieje mogli ukraść dane kart nawet ponad 40 tysięcy klientów, którzy kupili coś w sklepie OnePlus

źródło: Niebezpiecznik
grafika główna: Pexels

Jeżeli znalazłeś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij tutaj. Możesz też zgłosić błąd pisząc na maila.

Komentarze

Mediaexpert - przeceny!
Logowani/Rejestracja jest chwilowo wyłączona