Poważny błąd Onetu pozwalał pobrać pocztę i dane użytkowników

dodał 27 lipca 2021 o 06:54 w kategorii Info, Wpadki  z tagami:
Poważny błąd Onetu pozwalał pobrać pocztę i dane użytkowników

Powierzając swoje e-maile, książki adresowe i dane profilowe profesjonalnemu dostawcy usług internetowych, macie nadzieję, że ten zadba o ich bezpieczeństwo. Niestety czasem dostawca nie staje na wysokości zadania – i tak było tym razem.

Kilkanaście dni temu jeden z naszych czytelników, pragnący zachować anonimowość, podesłał nam opis błędu umożliwiającego dowolnemu internaucie pobieranie poczty, kontaktów i danych użytkowników usług Onetu. Brzmi poważnie, prawda? Istnienie błędu potwierdziliśmy, Onet problem usunął. Szczegóły poniżej.

Łowca błędów i jego plony

Nasz czytelnik jest profesjonalnym odkrywcą błędów. Osiąga z tego tytułu spore przychody, choć nie każdy poważny błąd pozwala na nim zarobić. Odkryte problemy bezpieczeństwa jednak zgłasza bez względu na to, czy czeka na niego wypłata.

Onet posiada funkcję pobierania kopii swoich danych. To bardzo chwalebne, że można ściągnąć komplet swoich e-maili, pełną książkę adresową lub kalendarz czy dane użytkownika. Wygląda to tak:

Nasz czytelnik skorzystał z tej funkcji i odkrył, że oprócz swoich danych, może także pobierać dane… innych użytkowników Onetu. Jak to działało?

Wystarczyło, będąc zalogowanym, wysłać do serwera np. takie żądanie:

https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F

aby w odpowiedzi otrzymać listing zawartości tzw. kubełka, czyli wirtualnego katalogu zawierającego pliki innych użytkowników.

Na zrzucie ekranu zamazaliśmy nazwy użytkowników, ponieważ wskazywały one na ich adresy e-mail. Usunięte są także dane potrzebnych ciasteczek (zalogowanej sesji). Jak widać, w folderze są zarówno dane bieżące, jak i historyczne. Dane te wskazują także na ścieżki do konkretnych plików. Pliki te jak najbardziej można było pobrać.

Pliki mogły zawierać kompletne skrzynki pocztowe, kalendarze, książki adresowe lub dane użytkowników. Oto przykład pliku skrzynki pocztowej (utworzonej przez naszego czytelnika, a następnie pobranej).

Były to zwykłe skompresowane pliki mbox, które można zaimportować do dowolnego klienta poczty.

Podsumowując incydent – nasz czytelnik odkrył jeden z najbardziej popularnych błędów bezpieczeństwa, czyli możliwość uzyskania nieautoryzowanego dostępu do katalogu z danymi klientów. Uzyskanie dostępu wymagało użycia sztuczki z dodatkowym kodowaniem znaków specjalnych, ale nie powinno się to zdarzyć w poważnej firmie w stosunku do danych klientów.

Reakcja Onetu

Oczywiście nasz czytelnik błąd zgłosił Onetowi, a Onet szybko błąd usunął. Nasz czytelnik poinformował nas, że nie otrzymał od Onetu żadnej odpowiedzi na swoje zgłoszenie.

My zwróciliśmy się do Onetu z następującymi pytaniami:

1. Czy potwierdzają Państwo, że do dnia 30 czerwca 2021 istniała
możliwość podglądu zawartości katalogów (tzw. bucketów / kubełków) z
plikami ZIP, zawierającymi skrzynki pocztowe użytkowników usługi
poczty elektronicznej (przykładowe żądanie
https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F).
2. Czy potwierdzają Państwo, że z ww. katalogów można było pobierać
pliki ZIP, które zawierały skompresowane pliki mbox, a te z kolei
zawierały skrzynki pocztowe użytkowników poczty?
3. Czy potwierdzają Państwo, że opisywana w pkt. 1 i 2 podatność
została usunięta po otrzymaniu zgłoszenia od zewnętrznego badacza?
4. Czy mogą Państwo określić, jakiej liczby użytkowników dotykała ww. podatność?
5. Czy wyżej opisywana podatność była wykorzystywana do
nieautoryzowanego pobierania zawartości cudzych skrzynek pocztowych?
6. Czy zamierzają Państwo powiadomić użytkowników, których skrzynki
były narażone na takie ryzyko?
7. Czy planują Państwo zgłosić ww. incydent UODO?

Na nasze pytania odpowiedziała Agnieszka Skrzypek-Makowska, Kierownik Komunikacji Zewnętrznej. Niestety była to odpowiedź bardzo lakoniczna.

Dzień dobry,

Podatność była do nas zgłoszona 30 czerwca, została przez nas potraktowana z najwyższym priorytetem i tego samego dnia została poprawiona. Bezpieczeństwo użytkowników i ich dane są dla nas najważniejsze.

Dokładając wszystkich starań, udało się ustalić, że podatność była wykorzystana tylko przez osobę zgłaszającą błąd.

Dalsze prace i informowanie właściwych urzędów pozostawiamy do naszej wewnętrznej analizy i ich procesowania zgodnie z procedurami przyjętymi w organizacji.

Jednocześnie zachęcamy do uczestnictwa w programie OpenBugBounty: https://www.openbugbounty.org/bugbounty/CSO_RASP/

Mam pocztę na Onecie, co dalej?

Niestety nie wiemy, czy Onet poinformował o incydencie użytkowników, których dane były narażone na ryzyko wycieku. W tej sytuacji możemy, zastępując Onet, przekazać wam poniższe porady:

  • Jeśli nie korzystałeś / korzystałaś z funkcji eksportu poczty, kalendarza, książki adresowej lub danych użytkownika, to TEN BŁĄD prawdopodobnie nie dotknął twoich danych.
  • Jeśli z takich funkcji korzystałeś / korzystałaś, to na wszelki wypadek zapytaj Onet, czy twoje dane nie trafiły w niepowołane ręce.
  • Błędy zdarzają się wszystkim, ale możliwość pobrania cudzej skrzynki w 2021 r. nie brzmi jak rekomendacja do dalszego używania usług tego dostawcy.

Bezpieczeństwu poczty elektronicznej poświęcamy aż trzy odcinki naszego kursu bezpieczeństwa (łącznie jest ich 36, a już wkrótce wrzucamy kolejne 4). Z kodem MOJAPOCZTA pierwsze 25 osób dostanie aż 40% rabatu i posłucha o tym, jak zabezpieczyć swoją skrzynkę, jak rozpoznać złośliwego e-maila lub załącznik czy też dlaczego kupno VPN-a nie zawsze jest najlepszym rozwiązaniem.