Nasze dane osobowe to coś, czego powinniśmy strzec jeszcze bardziej niż przysłowiowego oka w głowie – w końcu nigdy nie wiadomo, kiedy i kto postanowi zrobić z nich zły użytek. Nierzadko zdarza się jednak tak, że sami spuścimy na chwilę z oka swoje szczegółowe personalia, choć czasami nie dopilnuje ich ktoś inny. Tym razem małe potknięcie „zaliczył” sklep Morele.net.
Sklep internetowy Morele.net jest na tyle popularny, że prawdopodobnie nie muszę go przedstawiać nikomu z Was – sam niejednokrotnie robiłem tam zakupy. Warto jednak przypomnieć, że każdy zarejestrowany klient może, oczywiście po uprzednim zalogowaniu się na swoje konto, uzyskać dostęp do faktur za swoje poprzednie zamówienia.
Na powyższej grafice możecie zobaczyć, jak wygląda przykładowa faktura, wystawiana przez ten sklep. Jak sami widzicie, część danych jest zamazana, oczywiście nie bez powodu. Gorzej, że niemal dowolny użytkownik mógł uzyskać nieautoryzowany dostęp do czyichś dowodów zakupu.
http://www.morele.net/faktura_elektroniczna/4143178/d9c51b4f905ad73a40cdf74f1d09f20559737bd8f0a4fbc40cfede50e5424a4
Mniej więcej tak wygląda link, który otrzymuje użytkownik, chcący pobrać swoją fakturę. Gdzie tkwi problem? Ano w tym, że poprzez modyfikację tego linku dało się podejrzeć dokumenty, należące do innych klientów. Oczywiście nie każde podmienienie znaku dawało „pożądany” efekt, ale podobno skuteczność była całkiem wysoka.
Jak więc sami widzicie, „atak” na pewno nie mógł być w żaden sposób celowany i jeśli tylko ktoś miał dostęp do Waszej faktury, to trafił na nią metodą prób i błędów. Na szczęście, sam problem został już rozwiązany. W piątek redakcja portalu Niebiezpiecznik.pl skontaktowała się z obsługą sklepu przez formularz kontaktowy. Dwie godziny później odpowiedzi udzielił Wojciech Pawlik, przedstawiciel Morele.net:
Bardzo dziękuję za wskazanie tej luki – w tej chwili zgłosiliśmy poprawkę systemu w trybie natychmiastowym. Mam nadzieję, że rozwiązanie nie będzie skomplikowane i zaszyfrowanie linku będzie zrealizowane do poniedziałku.
Podobno na rozwiązanie problemu nie trzeba było czekać do poniedziałku, ponieważ już w piątek niemożliwe było podglądanie czyichś faktur.
Polecamy również:
https://www.tabletowo.pl/2018/01/19/oneplus-wyciek-danych-z-kart-debetowych-kredytowych-co-jak-to-sie-stalo/
źródło: Niebezpiecznik
grafika główna: Pexels
