02.03.2018 | 21:38

Adam Haertle

Jak Kamil dane pół miliona zamówień klientów sklepów internetowych znalazł

Zapewne części z Was zdarza się w trakcie zakupów czy odwiedzania innych witryn czasem podmienić numerek na końcu linka, by sprawdzić, co się stanie. Kamil podmienił i odkrył puszkę Pandory. Ale po kolei.

Odezwał się do nas Kamil Zieliński. Odezwał się, bo znalazł i opisał całkiem ciekawy przypadek, jak błąd w popularnym mechanizmie sklepowym i brak aktualizacji oprogramowania mogą doprowadzić do pokaźnego wycieku danych osobowych – i potencjalnie sporych problemów niektórych internautów. Lista klientów sexshopu może okazać się łakomym kąskiem dla szantażystów…

Ja tu tylko zmieniłem numerek

Kamil oglądał towary w sklepie tworczywo.pl. Najpierw jego uwagę zwróciła ciekawa subdomena strony, zawierająca słowo „test”. Musimy się zgodzić, brzmi jak zaproszenie do poszukiwań. Kamil użył wyrafinowanej techniki zwanej „Google hacking” i trafił na następujący link:

tworczywo.pl/orderPdf/show/id/[ID]/hash_code/0a5769c8d[HASH]16cf6698830188c

W miejscu ID był liczbowy identyfikator zamówienia, a w miejscu hasha jakiś ciąg znaków wyglądający na losowy. Link prowadził do dokumentu PDF, zawierającego pełne dane osobowe klienta sklepu oraz informacje o zakupionym towarze. Kamil postanowił sprawdzić, co się stanie, gdy zacznie obcinać link – praktyka mówi, że jest wtedy szansa natrafienia na katalog z włączonym indeksowaniem plików. Inaczej trudno odgadnąć ścieżkę do innych plików z innymi fakturami – bo przecież każdy z nich ma losowy hash. Ma losowy hash, prawda?

Kamil tak ścieżnę obcinał i obcinał, aż doszedł do

tworczywo.pl/orderPdf/show/id/[ID]/hash_code/

a plik nadal się wyświetlał…

Okazało się, że losowy hash nie ma żadnego znaczenia. A numer ID można było dowolnie zmieniać, wyświetlając kolejne dokumenty… Jakby tego było mało, kolejna wizyta w Google pokazała Kamilowi, że sklepów z podobnym problemem jest dużo więcej, znalazł ich bowiem 13.

W każdym ze zidentyfikowanych przypadków możliwe było wyświetlenie faktur klientów. Kamil policzył dostępne pliki i doszedł do liczby około 500 000 dokumentów PDF – a w każdym dane osobowe klienta i zakupiony towar. Poniżej lista sklepów, które zostały zidentyfikowane jako podatne:

tworczywo.pl
megakuchnia.pl
mozaikiswiata.pl
planettoys.pl
sex-shop69.pl / sex-shop69.cz / sex-shop69.sk
jubiler.pl
sklep.szymkowiak-karcher.pl
miesodlapsow.pl
uchwyty-inside.pl
aseopaper.pl
sklep.topmeble.eu
world-style.pl
rybarium.pl

Wszystkie z nich korzystały z tego samego silnika sklepowego firmy sote.pl. Kamil postąpił odpowiedzialnie, informując producenta programowania oraz każdy sklep z osobna o odkrytym problemie. Okazało się, że problem dotyczył tylko jednej wersji oprogramowania, lecz część klientów nie przeprowadziła aktualizacji na czas. Kamil od dwóch sklepów otrzymał propozycję upominków, lecz poprosił o przekazanie ich równowartości na rzecz Akademii Przyszłości.

Bądźcie jak Kamil. I przeczytajcie także jego wersję historii – fajnie pisze.

Powrót

Komentarze

  • 2018.03.02 23:58 Holden

    Kamil to czystej maści frajer wykonujący robotę za działy IT korporacji i sprzedawców dziurawych sklepów nie biorących za to odpowiedzialności. Gratulacje.

    Dla przypomnienia-nie zgłaszaj, nie raportuj, wykorzystaj albo sprzedaj. #antisec

    Odpowiedz
    • 2018.03.03 10:21 michu

      Poczucie uczciwości mówi, że chrzanisz. Zdrowy rozsądek, że masz rację.

      Odpowiedz
    • 2018.03.03 10:32 Bohhdan

      A jak ktoś zostawi portfel to go podpierdol bo mógł pilnować. On może jest frajer em wg Ciebie a dla mnie jest normalny, etyczny. A ty powinieneś mieć zarzut o podżeganie.

      Odpowiedz
      • 2018.03.03 19:41 Holden

        Dawaj zarzut xD.

        Portfel zawsze oddam. Zdarzyło mi się też oddać tablet. Zapominalstwo to nie to samo o czym mówimy.

        Odpowiedz
      • 2018.03.03 19:49 Holden

        Aha – jeszcze jedno, w open-source zgłaszam zawsze.

        Odpowiedz
        • 2018.03.28 00:07 Bartek

          Ale Sote udostepnia czy udostępniał sklep w Opensource w starszych wersjach…

          Odpowiedz
    • 2018.03.03 11:25 Duży Pies

      Nie frajer ale – jeszcze – idealista. Nie obrażaj go!
      .
      Wielu miało z nas miało w życiu etap że chciało naprawiać otaczający nas świat. Gdy dojrzewamy, gdy się starzejemy, „nasze serce umiera”* i stajemy się w środku martwi. Niewielu z nas w dorosłym życiu potrafi zachować w sobie dziecięcą radość, szczerość i naturalność.

      *
      Cytat z kultowego filmu „Klub winowajców” (The Breakfast Club) z 1985 r.

      Odpowiedz
    • 2018.03.03 12:24 Greg

      Fakt gość zrobił dobry uczynek i + dla niego. Ale następnym razem powinien chcieć od nich kasę za to bo zawalili na całej lini a zarabiaja na tym nie mało.

      Odpowiedz
      • 2018.04.03 09:44 mateusz

        ale masz świadomość, że większość z tych sklepów to kompletnie wali? To nie ich dane wyciekły, tylko ich klientów. RODO może coś w tym zakresie zmieni, ale też bym tego wpływu nie przeceniał.

        Odpowiedz
    • 2018.03.04 18:27 gosc

      1. Zgłaszając błędy chronimy także siebie.
      2. Jeśli pośrednio mógł pomóc dzieciom i przyniosło mu to satysfakcje, to też dobrze.

      Odpowiedz
  • 2018.03.03 03:50 mat

    kopie faktur i tak nadal dostępne są w google także nadal jest problem i to poważny

    Odpowiedz
  • 2018.03.03 07:00 PanHash

    Hash jest używany do udostępnienia pliku bezpośrednio z serwera. W przypadku braku pliku o takim hashu na serwerze żądanie zostaje przekierowane do skryptu który na podstawie innych parametrów lokalizuje określony plik. Trzeba jednak pytanie co z szyfrowaniem poufnych przesyłek w poczcie polskiej. Każda z nich jest podatna na MITM oraz serię innych ataków.

    Odpowiedz
  • 2018.03.03 07:48 Ironmike

    Ten tytuł to wam sam mistrz YODA składał? Ledwo się da przeczytać.

    Odpowiedz
    • 2018.03.03 09:44 Adam

      Lem. Stanisław Lem.

      Odpowiedz
      • 2018.03.03 11:16 Duży Pies

        10/10, oczywiście bez włażenia w tyłek xD

        Odpowiedz
      • 2018.03.03 18:53 Therminus

        Też mi od razu Cyberiada przypomniała.
        Ale pewnie Ironmike Lema nie czytał.

        Odpowiedz
    • 2018.03.05 08:41 Miaucoon

      Ironmaike, masz i się doucz: „Jak Erg Samowzbudnik bladawca pokonał” i „… jak Trurl i Klapaucjusz demona drugiego rodzaju stworzyli, aby zbójcę Gębona pokonać”.

      Nie ma za co :)

      Odpowiedz
  • 2018.03.03 10:06 Gość

    Kamil wykonał dobrą robotę, w porównaniu do osób zarządzających serwisem. Firma SOTE chwali się około 20 tys. licencji na sklepy komputerowe w Polsce i podaje wiele z nich na własnej mapie google. Ciekawe czy tych zamówień nie jest znacznie więcej.

    Odpowiedz
  • 2018.03.03 10:48 mx

    megakuchnia [kropka] pl, wszystkie faktury nadal online :/

    Odpowiedz
  • 2018.03.03 13:21 sputnikov

    Znalezisko całkiem ciekawe, tylko po co komuś dane z faktur,dowie się jakiś ciekawski gdzie kto mieszka i ile mięsa dla psa zakupił lub sprawdzi, jakiego koloru meble kupiłem do kuchni ?

    Odpowiedz
    • 2018.03.03 21:23 Sebo

      No własnie, albo na przykład jakiego rozmiaru dildo kupił. Zupełnie bezużyteczne.

      Odpowiedz
    • 2018.03.04 09:17 Kot Rademenes

      Jest imię, nazwisko, adres i telefon. Można pohandlować.

      Odpowiedz
  • 2018.03.04 10:29 gg

    Dane z faktur mogą być ciekawe dla konkurencji/potencjalnej konkurencji. Chcąc otworzyć biznes konkurencyjny do wymienionych lub mając biznes konkurencyjny na tacy mamy asortyment i potencjalnych kupujących oraz ilości asortymentu, które są przez nich kupowane. Coś o czym można tylko pomarzyć ;).

    Odpowiedz
  • 2018.03.04 19:29 Michal

    Fajne pytania…, że co niby można sprawdzić? wiele, adresy, telefony, imię nazwisko, ile wydał, ile sklep zarobił. Można zrobić fishing pełną gębą, phishing może też. Na deser można sobie znaleźć firmę, która oferuje wdrożenie sklepu na sote i mamy wykonane projekty i wbijamy adresiki :)

    Odpowiedz
  • 2018.03.05 13:36 hanys

    W jednym z dużych serwisów bankowych istnieje podobny problem. Login składa się z 8 cyfr, następnie pojawia się obrazek i pole do wpisania hasła. Sęk w tym, że trzy razy wpisałem źle ten numer (ostatni znak był większy o 1) i pojawił się komunikat, że dostęp do konta został zablokowany.

    Odpowiedz
    • 2018.03.18 13:54 ebola

      …to normalne a nie problem.
      Chcesz się zalogować na konto A i wpisujesz błędne hasła, więc masz zablokowane logowanie się do konta A.

      Odpowiedz
  • 2018.03.13 12:57 Admin Helpdesk

    Dostrzegam w tej historii potencjał dla twórczości memoidalnej, np.: nowa seria obrazków o dobrych uczynkach Kamila z IT, o jeszcze nieumarłym sercu.

    Odpowiedz
  • 2018.03.16 21:17 zenicaonline

    Dziękuję -Pozdrawiamy ?

    Odpowiedz

Zostaw odpowiedź do Kot Rademenes

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Kamil dane pół miliona zamówień klientów sklepów internetowych znalazł

Komentarze