Hasła klientów 810 sklepów IAI Shop przesyłane otwartym tekstem

dodał 5 listopada 2012 o 14:04 w kategorii Prywatność, Top, Wpadki  z tagami:
Hasła klientów 810 sklepów IAI Shop przesyłane otwartym tekstem

Trzy miesiące temu rozpoczęliśmy akcję piętnowania serwisów, przechowujących hasła klientów w sposób nie zapewniający odpowiedniego bezpieczeństwa. Wiele serwisów poprawiło swoje zabezpieczenia, jednak niektóre pozostają nieugięte.

Kiedy w sierpniu tego roku analizowaliśmy przypadki serwisów internetowych, którzy przechowują hasła swoich użytkowników w sposób nie zapewniający odpowiedniego poziomu bezpieczeństwa, zwróciliśmy uwagę na podobieństwo kilku sklepów w naszym zestawieniu. Oprócz tego, że sklepy te umożliwiały użytkownikowi przypomnienie hasła, przesyłając je emailem w jawnej formie, w każdym z nich panel przypominania hasła wyglądał bardzo podobnie. Krótka analiza wykazała, że wszystkie te sklepy działają na polskiej platformie IAI Shop.

IAI Shop to „największa w Polsce platforma do prowadzenia własnego sklepu lub hurtowni internetowej”. Według jednej ze stron projektu, obecnie pod kontrolą IAI działa 810 rożnych sklepów. Firma IAI oferuje usługę prowadzenia sklepu na własnych serwerach, z własnym wsparciem i obsługa techniczną. Oznacza to, że konfiguracja wszystkich sklepów jest bardzo podobna, różnią się one jedynie wyglądem interfejsu użytkownika.

Kiedy w sierpniu zauważyliśmy, że sklepy takie jak airsoftguns.pl, drumcenter.pl, ewa-michalak.pl, kurtmedia.pl, beateuhse.pl, sklep-presto.pl czy wolczanka.com.pl przesyłają hasła użytkowników otwartym tekstem, skontaktowaliśmy się z firmą IAI i poprosiliśmy o komentarz w tej sprawie. Szybko otrzymaliśmy informację, że odpowiedź otrzymamy później, ponieważ firma zajęta jest sporem z Google. Kiedy po 3 miesiącach przypomnieliśmy się ponownie, nie otrzymaliśmy już żadnej odpowiedzi.

 

Hasło wysyłane otwartym tekstem

 

Jak wskazał nam jeden z naszych czytelników, oprócz wysyłania haseł klientom otwartym tekstem, firma stosuje także inne, równie ciekawe praktyki związane z hasłami. Potrafi na przykład przesłać klientom link, automatycznie logujący użytkownika do jego konta. Link zawiera hash hasła (wygląda jak MD5, ale prawdopodobnie solony).

Co prawda solenie hasha powoduje, że hasło nie jest łatwe do odzyskania, ale po kliknięciu w link przenosimy się do zalogowanej sesji w serwisie, gdzie wystarczy odwiedzić stronę

by w kodzie HTML zobaczyć hasło użytkownika zapisane ponownie otwartym tekstem.

 

Hasło otwartym tekstem w kodzie HTML

 

Nie musimy chyba mówić, że link nie wygasa po jego użyciu – możliwe jest wielokrotne logowanie się za jego pomocą. Rozwiązanie nad wyraz kuriozalne z punktu widzenia bezpieczeństwa – po co w takim razie wysyłać solony hash, skoro kliknięcie w link podaje treść hasła? Jeśli z usług firmy IAI korzysta 810 sklepów, to dane ilu klientów przechowywane są w sposób urągający podstawowym zasadom bezpieczeństwa? Jak długo jeszcze ci klienci będą musieli czekać na stworzenie procedur zapewniających poufność ich haseł? Ciągle czekamy na odpowiedź firmy. Na zakończenie jeszcze tylko przypomnijmy zapis z polityki prywatności IAI:

IAI S.A. nie odpowiada za błędy właścicieli sklepów korzystających z IAI-Shop.com, jeżeli to z ich winy zasady poufności gromadzonych informacji nie zostaną zachowane. W szczególności odradzamy wykorzystywanie jednego konta użytkownika panelu administracyjnego, zapisywania i podawania publicznie hasła. Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili i przy pomocy komunikatorów internetowych.

Aktualizacja: IAI opublikowało wyjasnienie swojego stanowiska tłumacząc, że klienci, którzy zapomnieli hasła, nie będą chcieli go ponownie konfigurować, tylko zamiast tego albo nie zrobią zakupów wcale, albo założą nowe konto, co przynosi straty właścicielom sklepów. Ciekawe stanowisko, którego ocenę pozostawiamy klientom firmy.

Ze względu na kontakt ze strony Niebezpiecznika wycofujemy teorie spiskowe :)