Jak Kamil dane pół miliona zamówień klientów sklepów internetowych znalazł

Zapewne części z Was zdarza się w trakcie zakupów czy odwiedzania innych witryn czasem podmienić numerek na końcu linka, by sprawdzić, co się stanie. Kamil podmienił i odkrył puszkę Pandory. Ale po kolei.

Odezwał się do nas Kamil Zieliński. Odezwał się, bo znalazł i opisał całkiem ciekawy przypadek, jak błąd w popularnym mechanizmie sklepowym i brak aktualizacji oprogramowania mogą doprowadzić do pokaźnego wycieku danych osobowych – i potencjalnie sporych problemów niektórych internautów. Lista klientów sexshopu może okazać się łakomym kąskiem dla szantażystów…

Ja tu tylko zmieniłem numerek

Kamil oglądał towary w sklepie tworczywo.pl. Najpierw jego uwagę zwróciła ciekawa subdomena strony, zawierająca słowo „test”. Musimy się zgodzić, brzmi jak zaproszenie do poszukiwań. Kamil użył wyrafinowanej techniki zwanej „Google hacking” i trafił na następujący link:

W miejscu ID był liczbowy identyfikator zamówienia, a w miejscu hasha jakiś ciąg znaków wyglądający na losowy. Link prowadził do dokumentu PDF, zawierającego pełne dane osobowe klienta sklepu oraz informacje o zakupionym towarze. Kamil postanowił sprawdzić, co się stanie, gdy zacznie obcinać link – praktyka mówi, że jest wtedy szansa natrafienia na katalog z włączonym indeksowaniem plików. Inaczej trudno odgadnąć ścieżkę do innych plików z innymi fakturami – bo przecież każdy z nich ma losowy hash. Ma losowy hash, prawda?

Kamil tak ścieżnę obcinał i obcinał, aż doszedł do

a plik nadal się wyświetlał…

Okazało się, że losowy hash nie ma żadnego znaczenia. A numer ID można było dowolnie zmieniać, wyświetlając kolejne dokumenty… Jakby tego było mało, kolejna wizyta w Google pokazała Kamilowi, że sklepów z podobnym problemem jest dużo więcej, znalazł ich bowiem 13.

W każdym ze zidentyfikowanych przypadków możliwe było wyświetlenie faktur klientów. Kamil policzył dostępne pliki i doszedł do liczby około 500 000 dokumentów PDF – a w każdym dane osobowe klienta i zakupiony towar. Poniżej lista sklepów, które zostały zidentyfikowane jako podatne:

Wszystkie z nich korzystały z tego samego silnika sklepowego firmy sote.pl. Kamil postąpił odpowiedzialnie, informując producenta programowania oraz każdy sklep z osobna o odkrytym problemie. Okazało się, że problem dotyczył tylko jednej wersji oprogramowania, lecz część klientów nie przeprowadziła aktualizacji na czas. Kamil od dwóch sklepów otrzymał propozycję upominków, lecz poprosił o przekazanie ich równowartości na rzecz Akademii Przyszłości.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *