Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy
W wielu miastach popularność zyskują platformy, dzięki którym mieszkańcy mogą wskazywać urzędnikom problemy takie jak popsuta infrastruktura miejska czy przewrócone drzewa. Czasem jednak system ujawnia za dużo danych.
Dzisiaj rano wystartowała platforma ZgłoszeniaBB – system umożliwiający mieszkańcom Bielska-Białej proste i wygodne zgłaszanie różnych incydentów urzędnikom i służbom miejskim. Uruchomiona została zarówno strona WWW jak i aplikacja mobilna i zaczęły napływać pierwsze zgłoszenia. Jeden z naszych Czytelników zwrócił jednak uwagę, że co innego widać na stronie, a co innego w narzędziach przeglądarki.
Zbyt dużo danych
Strona prezentuje między innymi listę już głoszonych problemów. Wygląda ona tak:
Jeśli jednak dzisiaj rano zajrzeliście, co dzieje się pod spodem, mogliście trafić na takie oto żądanie do serwera:
Rzut oka w dane przesyłane w odpowiedzi pozwolił Czytelnikowi zauważyć, że pojawiło się tam o kilka pól za dużo:
Serwer wysyłał przeglądarce także dane osobowe zgłaszającego problemy i je przeglądającego, ponieważ w komunikacji przekazywane były pola takie jak
PERSON_CREATE_NAME PERSON_CREATE_SURNAME PERSON_MODIFY_NAME PERSON_MODIFY_SURNAME
Dodatkowo regulamin serwisu mówi:
Niestety kolejny punkt regulaminu
jeszcze dzisiaj rano nie był prawdą.
Rekordowy czas reakcji
Gdy otrzymaliśmy informację o błędzie, przesłaliśmy ją do Urzędu Miejskiego oraz firmy BIT SA, która jest twórcą aplikacji. Nasza wiadomość na ogólny adres kontaktowy firmy została wysłana o godzinie 10:37, a o 11:11, zaledwie 34 minuty później, dostaliśmy informację, że błąd jest już usunięty. Trzeba przyznać, że tak jak błąd był trywialny i nie powinien się pojawić w usłudze, tak czas reakcji zasługuje na uznanie – to chyba rekord w naszej współpracy z dostawcami. Dane nie pojawiają się już gdzie nie trzeba, zatem jeśli mieszkacie w Bielsku-Białej, to możecie spokojnie wysyłać kolejne zgłoszenia.
Jeśli nie chcecie czytać o podobnych incydentach w wykonaniu Waszych programistów, to zapraszamy na nasze szkolenie z bezpieczeństwa aplikacji WWW.
Warszawa, 19 – 21 lutego 2018
Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto
Szczegółowy opis szkolenia
Podobne wpisy
- Wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczy
- Jak złodzieje wykradali pieniądze graczy z serwisu bukmacherskiego efortuna.pl
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- „Nie słyszałem o wycieku” słabym argumentem na rzecz bezpieczeństwa planowanego rejestru samobójców
- ProteGo safe – instalować czy nie? Rozmowa z ekspertem
Jest jeszcze jedna głupota, którą mogliby poprawić. Serwer wysyła całkiem sporo informacji o zainstalowanym oprogramowaniu. Oczywiście może to być ściema ale jak znam życie to jednak autentyczne info jest. Nie będę się czepiał, że wystawili Apache-a bezpośrednio do sieci ale zapewne obsługuje on back-end (PHP) i przy większym ruchu padnie jak objedzona maciora. Pliki statyczne: css, js i obrazki lepiej serwować z osobnego serwera.
Dlaczego ZaufanaStronaTrzecia używa Canvas Fingerprint???
Nie używa.
ŻEBY CIĘ WYŚLEDZIĆ I ZAŁOŻYĆ CI HASŁO NA BIOSA.
Odpaliłem na próbę torbrowser i jest alarm.
This website (zaufanatrzeciastrona.pl) attempted to extract HTML5 canvas image data, which may be used to uniquely identify your computer.