Pobieranie cudzych faktur z Ceneo i spółek komunalnych

dodał 26 marca 2018 o 21:01 w kategorii Wpadki  z tagami:
Pobieranie cudzych faktur z Ceneo i spółek komunalnych

Bywa, że pozyskanie danych, które można uznać za poufne, nie wymaga wysiłku ani użycia specjalnych narzędzi – wystarczy podmienić kilka cyfr w linku. Trywialny błąd da się znaleźć nawet w poważnych serwisach, co udowodnili nasi Czytelnicy.

Całkiem niedawno pisaliśmy o Kamilu, który w podobny sposób znalazł dane pół miliona zamówień klientów sklepów internetowych. Wcześniej opowiedzieliśmy o błędzie w serwisie ogłoszeniowym OLX. Najnowsze rozpatrywane przez nas zgłoszenia dotyczyły Ceneo oraz systemu, którego używają niektóre firmy komunalne, z reguły wodociągowe.

Przypadek 1. Kto ile zapłacił za reklamę w Ceneo

Jak poinformował nas jeden z Czytelników (za co dziękujemy!), po zalogowaniu się do panelu na stronie shops.ceneo.pl można było uzyskać dostęp do faktur, które serwis wystawił także innym nabywcom usług reklamowych. Link umożliwiający pobranie każdej z nich miał postać:

https://shops.ceneo.pl/Subscriptions/InvoicePdf?number=YYYY%2FXXXXXXXXXX&isCorrection=False

gdzie YYYY to rok, a szereg X-ów oznaczał numer faktury. Wystarczyło podmienić ten szereg na inny i wcisnąć Enter, aktywując automatyczne ściąganie pliku, by wejść w posiadanie informacji dla nas nieprzeznaczonych. Poniżej możecie zobaczyć dwa przykładowe dokumenty pobrane w omawiany sposób.

Powiecie, że nie stało się nic strasznego, bo dane przedsiębiorców nie są chronione na takich samych zasadach, jak dane osobowe – nazwy firm, ich adresy i numery NIP znajdziemy bez problemów, korzystając z ogólnodostępnych rejestrów internetowych. To prawda, weźcie jednak pod uwagę, że prowadząc firmę, nie chcielibyście, aby ktoś bez Waszej wiedzy i zgody zapoznawał się z informacjami o płatnościach, których dokonaliście.

Na reakcję serwisu nie musieliśmy długo czekać. Odpowiadając na nasze zgłoszenie, Tomasz Jankowski z działu PR Ceneo napisał: „Przede wszystkim chcemy przeprosić za zaistniałą sytuację i zapewnić, że dane sklepów korzystających z naszych usług są bezpieczne. Błąd został już naprawiony. (…) zapewniamy, że kwestie bezpieczeństwa w Ceneo.pl są najważniejsze”.

Reakcja Ceneo była szybka i sprawna, szkoda tylko, że w ogóle doszło do popełnienia tak trywialnego błędu. Kiedyś już o tym pisaliśmy i możemy przypomnieć raz jeszcze: enumeracja parametrów jest jednym z podstawowych testów, który wielu miłośników bezpieczeństwa okazjonalnie przeprowadza w odwiedzanych przez siebie serwisach. Wypadałoby wziąć to pod uwagę, projektując swoją usługę.

Przypadek 2. Wodociągi, z których wyciekają faktury

Inny nasz Czytelnik, który przedstawił się jako ExecPcs, chciał któregoś dnia zweryfikować, ile musi zapłacić swemu dostawcy wody. Zalogował się na stronie ibo.wodociagmarecki.pl i pobrał fakturę, która znajdowała się pod adresem:

https://ibo.wodociagmarecki.pl/client/FakturaCR.aspx?idFak=XXXXXX&typ=1 (GET)

„Zaciekawił mnie parametr idFak i go zmieniłem, ikrementując (dodając) do niego +1. Ku mojemu zdziwieniu mogłem pobrać faktury innych klientów” – poinformował nas Czytelnik. Co można było na nich znaleźć? Oprócz imion i nazwisk innych użytkowników, także dane o położeniu działek (Obiekt/Posesja), loginy do kont (w kwadratowych nawiasach po słowie „Nabywca”), dane adresowe oraz informacje o nieruchomościach, których dotyczyły odczyty. Przykładową fakturę możecie zobaczyć poniżej:

ExecPcs poinformował swego dostawcę wody o znalezionym błędzie. Po 24 godzinach otrzymał lakoniczną odpowiedź, że luka została załatana. „Zweryfikowałem i rzeczywiście podatność nie była już obecna w systemie. Na pochwałę zasługuje szybki czas naprawy błędu” – napisał Czytelnik, dodając, że podczas czekania na odpowiedź naszła go pewna refleksja. Platforma wykorzystywana przez Wodociąg Marecki Sp. z o.o. jest dostarczana jako usługa (as a service). Prosty „Google dork” pozwolił sprawdzić, że używają jej także inne firmy komunalne. Czy i one są podatne na wykorzystanie tego trywialnego błędu?

Wysłaliśmy w tej sprawie dwa zapytania do twórców oprogramowania, ale zostaliśmy zignorowani. Pozostaje mieć nadzieję, że po cichu przygotują łatkę, zanim ktoś wspomnianą lukę wykorzysta. Jeśli zetknęliście się z podobnymi błędami także w innych serwisach, dajcie znać w komentarzach lub pisząc na adres redakcji – sprawdzimy, opiszemy, postaramy się przyśpieszyć ich usunięcie.