Pobieranie cudzych faktur z Ceneo i ze spółek komunalnych

Bywa, że pozyskanie danych, które można uznać za poufne, nie wymaga wysiłku ani użycia specjalnych narzędzi – wystarczy podmienić kilka cyfr w linku. Trywialny błąd da się znaleźć nawet w poważnych serwisach, co udowodnili nasi Czytelnicy.

Całkiem niedawno pisaliśmy o Kamilu, który w podobny sposób znalazł dane pół miliona zamówień klientów sklepów internetowych. Wcześniej opowiedzieliśmy o błędzie w serwisie ogłoszeniowym OLX. Najnowsze rozpatrywane przez nas zgłoszenia dotyczyły Ceneo oraz systemu, którego używają niektóre firmy komunalne, z reguły wodociągowe.

Przypadek 1. Kto ile zapłacił za reklamę w Ceneo
Jak poinformował nas jeden z Czytelników (za co dziękujemy!), po zalogowaniu się do panelu na stronie shops.ceneo.pl można było uzyskać dostęp do faktur, które serwis wystawił także innym nabywcom usług reklamowych. Link umożliwiający pobranie każdej z nich miał postać:

https://shops.ceneo.pl/Subscriptions/InvoicePdf?number=YYYY%2FXXXXXXXXXX&isCorrection=False
1
https://shops.ceneo.pl/Subscriptions/InvoicePdf?number=YYYY%2FXXXXXXXXXX&isCorrection=False
gdzie YYYY to rok, a szereg X-ów oznaczał numer faktury. Wystarczyło podmienić ten szereg na inny i wcisnąć Enter, aktywując automatyczne ściąganie pliku, by wejść w posiadanie informacji dla nas nieprzeznaczonych. Poniżej możecie zobaczyć dwa przykładowe dokumenty pobrane w omawiany sposób.

Powiecie, że nie stało się nic strasznego, bo dane przedsiębiorców nie są chronione na takich samych zasadach, jak dane osobowe – nazwy firm, ich adresy i numery NIP znajdziemy bez problemów, korzystając z ogólnodostępnych rejestrów internetowych. To prawda, weźcie jednak pod uwagę, że prowadząc firmę, nie chcielibyście, aby ktoś bez Waszej wiedzy i zgody zapoznawał się z informacjami o płatnościach, których dokonaliście.

Na reakcję serwisu nie musieliśmy długo czekać. Odpowiadając na nasze zgłoszenie, Tomasz Jankowski z działu PR Ceneo napisał: „Przede wszystkim chcemy przeprosić za zaistniałą sytuację i zapewnić, że dane sklepów korzystających z naszych usług są bezpieczne. Błąd został już naprawiony. (…) zapewniamy, że kwestie bezpieczeństwa w Ceneo.pl są najważniejsze”.

Reakcja Ceneo była szybka i sprawna, szkoda tylko, że w ogóle doszło do popełnienia tak trywialnego błędu. Kiedyś już o tym pisaliśmy i możemy przypomnieć raz jeszcze: enumeracja parametrów jest jednym z podstawowych testów, który wielu miłośników bezpieczeństwa okazjonalnie przeprowadza w odwiedzanych przez siebie serwisach. Wypadałoby wziąć to pod uwagę, projektując swoją usługę.

Przypadek 2. Wodociągi, z których wyciekają faktury

Inny nasz Czytelnik, który przedstawił się jako ExecPcs, chciał któregoś dnia zweryfikować, ile musi zapłacić swemu dostawcy wody. Zalogował się na stronie ibo.wodociagmarecki.pl i pobrał fakturę, która znajdowała się pod adresem:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *