Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl
Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.
Kilka dni temu Czytelnik, pragnący zachować anonimowość, zgłosił nam bardzo prosty, choć potencjalnie brzemienny w skutkach błąd na stronie serwisu Selgros24.pl. Po kilku dniach udało się nam uzyskać reakcję sklepu – jednak była ona dla nas dość zaskakująca.
Trywialny błąd
Problem, na który trafił Czytelnik, był bardzo, ale to bardzo prosty. URL do pobrania duplikatu faktury wyglądał tak:
https://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX
gdzie w miejscu XXXXXX znajdował się liczbowy identyfikator dokumentu. Domyślacie się już pewnie, co trzeba było zrobić, by pobrać cudzy dokument – tak, trzeba było zmienić liczbę na końcu URL-a na dowolną inną. Liczby sięgały wartości powyżej 300 000, a dokumenty pochodziły co najmniej z 5 ostatnich lat. Dostępne w ten sposób dokumenty zawierały zarówno dane klientów (imię, nazwisko, nazwa firmy, NIP, adres), jak i listę wykonanych zakupów. Link działał dla każdego zalogowanego użytkownika sklepu, a aby się zalogować, wystarczyło po prostu założyć konto online.
Ciekawa reakcja
Czytelnik błąd zgłosił sklepowi oraz nam. Poprosiliśmy w czwartek sklep o komentarz, lecz do poniedziałku nie doczekaliśmy się żadnej odpowiedzi. Poszukaliśmy zatem na LinkedIn szefa IT firmy Transgourmet Polska zarządzającej sklepem i otrzymaliśmy informację, że odpowiedź dotrze dzisiaj. Zgodnie z obietnicą dotarła. Poniżej jej pełna treść:
W nawiązaniu do Pana pytania skierowanego dnia 22 sierpnia 2019r., pragnę poinformować, iż Spółka otrzymała zgłoszenie dotyczące nieuprawnionego dostępu do systemu strony internetowej selgros24.pl. Zgłoszenie zostało zarejestrowane, dokładnie przeanalizowane i podjęte zostały wszelkie czynności wynikające z powszechnie obowiązujących przepisów prawa w tym zakresie. Nie doszło do jakiejkolwiek innej nieuprawnionej ingerencji w system zabezpieczeń. Pomimo, iż dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych, celem wyeliminowania ewentualnych zagrożeń w przyszłości strona internetowa otrzymała dodatkowe zabezpieczenia, które zostały zastosowane w dniu wpłynięcia zgłoszenia. Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.
Według posiadanych przez nas informacji błąd został dość szybko usunięty z serwisu. Niestety z odpowiedzi, którą otrzymaliśmy, nie dowiemy się, czy firma np. powiadomiła UODO o incydencie. Dowiemy się za to czegoś bardzo ciekawego. Zdaniem specjalisty ds. ochrony danych osobowych, który podpisał się pod odpowiedzią, „dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych”. Woooow. Możliwość pobierania cudzych dokumentów z danymi osobowymi i listami zakupów przed zmianę wartości liczbowej w linku o 1 to „standard stosowany na tożsamych stronach internetowych”? Naprawdę? Pierwszy raz trafiamy na taki argument w stanowisku sklepu i myśleliśmy, że nasze zaskoczenie nie może być większe. Myśleliśmy tak jednak tylko do momentu gdy przeczytaliśmy ostatnie zdanie wiadomości…
Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.
Wspomniany artykuł mówi o ochronie dóbr osobistych. Znamy go dość dobrze – wielokrotnie firmy lub osoby, których problemy, wpadki lub celowe działania były tematami naszych artykułów próbowały zmusić nas do usunięcia wpisów lub ich modyfikacji, powołując się miedzy innymi na zapisy art. 24 KC. Za każdym razem bezskutecznie. Naszym zadaniem jest opisywanie wydarzeń ze świata bezpieczeństwa w sposób bezstronny, obiektywny i oparty na faktach oraz dowodach. Jeśli zatem firma Transgourmet Polska zdecyduje się przygotować pisma przedprocesowe (lub procesowe), prosimy, by miała szczególnie na uwadze prawo prasowe oraz część ogólną Kodeksu Cywilnego.
Podobne wpisy
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego
- Takiej afery w mBanku jeszcze nie było – sprawdźcie, czy wasze konta są nadal wasze
Fakt, Wy obiektywnie przedstawiacie swiat IT/Security, w przeciwienstwie do konkurencji, ktora mocno miesza te tematy z polityka. Wielki plus dla Was.
Albo z własnymi szkoleniami ;)
Ot to…. u konkurenta to artykuły zaczynają się od fabularyzowanej opowieści, o tym jak się zabezpieczyć można się dowiedzieć na płatnym szkoleniu.
> wielokrotnie firmy lub osoby, których problemy, wpadki lub celowe działania były tematami naszych artykułów próbowały zmusić nas do usunięcia wpisów lub ich modyfikacji powołując się miedzy innymi na zapisy art. 24 KC. Za każdym razem bezskutecznie.
Czy tylko ja mam tak długi staż czytelniczy, że pamiętam że jednak jeden artykuł skasowaliście? Dotyczył pewnego biura informacji o dłużnikach.
Nie udało się zweryfikować prawdziwości informacji, o które oparty był artykuł, więc jego publikacja była błędem – dlatego została cofnięta.
A artykuł o kancelarii prawnej, z której wykradziono wrażliwe dane, dlaczego usunęliście?
https://zaufanatrzeciastrona.pl/post/ogromny-wyciek-danych-duzej-polskiej-kancelarii-skutkiem-niedawnych-atakow/
O ile mi wiadomo, to w Polsce nie istnieje coś takiego jak gag order – tzn. służby nie mogą zmusić dziennikarza do usunięcia artykułu ze strony, którą prowadzi. A może się mylę?
Ponieważ jego publikacja realizowała cele przestępców, nie dając jednocześnie żadnej wartości poszkodowanym.
Ale można zwyczajnie nie pisać o tematach które mają zostać w prywatnym gronie. Ja bym Zaufanej Trzeciej Strony o coś takiego nie podejrzewał, ale niech się wypowiedzą lepiej poinformowani: https://www.wykop.pl/link/4150689/#comment-52487051
Patrząc z boku – spec Selgrosa ma rację – ani dane klientów fakturowych tej firmy nie da objęte RODO bo to firmy ani ceny na fakturach nie da tajemnicą – są w gazetkach i na stronie – więc o co chodzi w artykule?
Jesteś pewny, że nie są tajemnicą? A może właśnie są bo dają wgląd w to co ktoś kupuje i w jakiej ilości. Pozwala to wyciągnąć daleko idące wnioski. Ot te nieszkodliwe metadane
Patrząc z boku mógłbyś chociażby sprawdzić, że w Selgrosie mogą śmiało rejestrować się także osoby fizyczne: https://selgros24.pl/rejestracja-karty?origin=selgros24pl
Przecież dało się pobrać:
– dane osobowe osób fizycznych
– dane osobowe osób fizycznych prowadzących działalność gospodarczą
ustalić:
– na co jest największy popyt u firm zaopatrujących się w Selgrosie; ustalić co najlepiej się sprzedaje w Selgrosie (te dane mają również swoją wartość)
Przygotować:
– kampanie phishing pod konkretnych klientów (kupon na zakupy – > klon sklepu – > wyłudzenie danych do bankowości/płatność na słupa
Ale on patrzył z boku
a więc… więcej szkoda da to firmie niż klientowi, bo bedą wiedzieć co kupuje klient i beda mu oferować te same lub podobne towary taniej XD
Niezupełnie.
„W praktyce […] dane o przedsiębiorcach wpisanych do KRS nie podlegają restrykcyjnym rygorom przetwarzania wynikającym z postanowień RODO. Jednak w przypadku danych przedsiębiorców, którymi są osoby fizyczne prowadzące jednoosobową działalność gospodarczą (przedsiębiorcy wpisani do CEIDG) RODO w pełni odnajdzie zastosowanie.”
https://odo24.pl/blog-post.czy-faktury-podlegaja-rodo-najpopularniejsze-fakty-i-mity
Niezupełnie
:)
proponuję po 1 nie brać za „dobrą” monetę wszystkiego co piszą na odo24 :) warto mieć „zawsze” wątpliwość (Łona i Webber)
po 2 : w KRS są także podmioty, które nie są osobami prawnymi (spółki jawne, komandytowe itp..)
w motywie 14, na który zapewne powołuje się autor publikacji jest mowa o osobach prawnych i określeniu „co do zasady” to nie znaczy, że zawsze.
Proponuję zapoznać się z komentarzem :
Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz WKP 2018
do art. 4 RODO oraz powołanych tam wyroków Trybunału Sprawiedliwości C-92/09 i C-93/09
Zgodnie z RODO dane osobowe osób prywatnych prowadzących działalność gospodarczą są danymi osobowymi objęte są tym samym ochroną tzw. RODO.
„dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych” Może pan z Transgourmet wie coś o czym my nie wiemy? :P trzeba by było sprawdzić teraz, bo może faktycznie na „tożsamych stronach” (cokolwiek to znaczy – ogólnie sklepy internetowe? hurtownie? czy może strony korzystające z tego samego systemu?) są podobne „zabezpieczenia”.
ps. @jan – nawet gdyby nie było możliwości pobrania danych osób fizycznych (a jak już wspomniano w komentarzach – były) to mając możliwość przejrzenia faktur 5 lat wstecz można zbudować baaardzo dokładne profile firm – co kupują, w jakich ilościach i z jaką częstotliwością etc. Mnóstwo danych do przygotowania wiarygodnych kampanii/ataków. Przykładem może być K. Mitnick i magiczna fraza „łamałem ludzi, nie hasła”. Polecam tą książkę każdemu kto jeszcze nie czytał. Więc nawet jeśli nie „wyciek danych osobowych” to z pewnością znaczne naruszenie bezpieczeństwa.
Szef IT, mi by było wstyd.
Nie trzeba daleko szukac.W zeszlym tygodniu wielka afera w szwecji po tym jak jednen z rodzicow przy zmianie wlasnie tego typu parametrow uzyskiwal dostep do danych innych(skolplattformen -Platforma szkolna jest wspólną platformą cyfrową dla wszystkich form szkolnych Sztokholmu: przedszkola, szkoły podstawowej, ponadgimnazjalnej i edukacji dorosłych, w tym szkół specjalnych.).Po analizie okazalo sie ze wystarczyl skrypt by wyciagnac wszystko od komentarzy danych osobowych po oceny i dane nauczycieli.Portal wylaczono do poprawki(calkowity koszt prawie 1mld koron tj. okolo 406 mln PLN.Utrzymanie rocznie 120 mln koron(ale wychodzi czesto wiecej.To tylko zalozenia) tj okolo 49 mln PLN.(zakladane koszty utworzenia byly nizsze ale wzrosly do tej kwoty)Wyszlo drozej niz wikipedia.
Nie pamiętam, czy u nich miałem założone konto kiedykolwiek. Myślicie, że warto pokusić się o odpytanie, jakie dane osobowe moje przetwarzają?
Nie.
Ochrona danych osobowych to bzdura. Co chwilę gdzieś wyciekają. Przy każdym zakupie na allegro ktoś dostaje wasze dane.
Rozwiązanie powinno polegać na silnej weryfikacji ludzi przy zawieraniu umów. Tak żeby pomimo wycieku dane były bezwartościowe.
>Ochrona danych osobowych to bzdura.
podobnie jak wiele innych – np. tajemnica korespondencji przy korzystaniu z Allegro – przechodzą przez ich serwery wszystkie informacje, nawet pozakupowe i prywatne.
Racja. Dodatkowo domyslnie obciążać winą za błędnie przyznaną „chwilówkę” kredytodawców.
Czysta mzonka.
bankom, telecomom sie oplaca to ze dane wyciekaja i sa brane kredyty/telefony. tak wspolczesnie zarabiaja – i to nie male pieniadze.
Czyli jak rozumiem już nie robicie zakupów na allegro?
:D
„Pomimo, iż dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych”
Nie rozumiem czego się czepiacie. Przecież uczciwie gość napisał, że na wszystkich stronach zarządzanych przez nich jest taka sama padaka.
Taka mała uwaga. Tytuł artykułu trochę wprowadza w błąd. „Setki tysięcy faktur” były dostępne dla każdego. Przedstawiłeś screena „WZ – Duplikat”. Dowód WZ to raczej nie faktura.
Były także faktury, a oba rodzaje dokumentów zawierają te same dane.
Poruszyl redakcje belkot prawniczy bo ta odpowiedź zapewne wlasnie taka miala być bo pisal ja pewnie ich prawnik. Wszyscy lapiemy sie na to wadliwe myslenie ze jest sobie oto cos tego czegos zabezpieczenia. zapytam prze to gdzie sie podzialo 'security by design’ – to jego zabraklo i bezpiecznej aplikacji CRM a nie 'zabezpieczen strony’ ktore zreszta zgodnie z prawda byly zapewne „tożsame” :)
A tak bardziej po polsku to co byś chciał powiedzieć?
Tylko tyle, że tak długo jak mówić będziemy o „zabezpieczaniu” zamiast o „budowaniu bezpiecznego” tak długo można będzie napisać „przecież strona była standardowo zabezpieczona”. Bo to w istocie zapewne prawda w tym przypadku. Tyle, że oczywiście poprzestać na „zabezpieczaniu serwera czy strony nie można. Dziś juz przepisy obligują do stosowania zasady „security by design” tylko ciągle dla zlecających i dla wdrażających pozostaje kwestią dowolnej interpretacji co to w praktyce oznacza. W komentarzu dla tej luki zacytuję co ktoś gdzieś w necie napisał: „Finally, many API vulnerabilities are associated with flaws in business logic. This allows hackers to use legitimate workflows in a malicious way, thereby triggering some unintended action which really depends on the nature of the workflow” i dla takich błedów żadne „zabezpieczanie” nie będzie skuteczne a działanie „bezpieczników” co najwyżej pozwoli tylko na wczesne wykrycie podatności.
W kontekście RODO nie ma czegoś takiego jak:
standardowe zabezpieczenie ;)
zabezpieczenie ma być dobrane adekwatnie do zagrożeń albo jak kto woli ryzyka.
Tylko nie ryzyka wycieku danych tylko RYZYKA jakie dotyczy OSÓB, których dane dotyczą
to jest jeden z głównych problemów w „rozumieniu” podejścia do zabezpieczeń
Identyczna luka jest w systemie fakturowania jednej firmy ze Stargardu http://fak.hord.pl/
Po założeniu konta możemy sobie iterować wszystkie faktury http://fak.hord.pl/faktura_sprzedaz_edycja.php?id=%5B1,2,3,4%5D
Zgłosiłem w czerwcu tej firmie incydent aby to zgłosili do UODO ale niewiele zrobili. Luka pozostała i można sobie przeglądać dowolne faktury zarejestrowanych tam firm.
Np : http://fak.hord.pl/faktura_sprzedaz_edycja.php?id=9163
Mało tego, oprócz iteracji możemy je jeszcze edytować, kasować itd, pełen hardcore ( ͡° ͜ʖ ͡°)
Cała ta strona, to jakiś żart. Logowanie po HTTP, jak wymusisz HTTPS, to na protokole self signed jest wystawiony landing page systemu parallels.
Jedna ze szkół policealnych, której jest zielono ( ;) ) też miała taką możliwość (zmiana id użytkownika w url) dzięki której wyświetlał się (częściowo) profil innej osoby. Można było zobaczyć imię i nazwisko, oraz kilka innych rzeczy (ale np planu zajęć już nie). Teraz ten bug już nie istnieje, ale dłuuugi czas istniał.
Przy okazji pytanko. Sklep internetowy po założeniu konta przesyła potwierdzenie na adres email o założonym koncie. A w emailu podane hasło jakie było ustalone przy zakładaniu konta w sklepie.
Czy to znaczy, że przechowują hasła w formie jawnej?
Nie. Mogą wysłać jawne a zapisać niejawne.
:) o ile outbox skrzynki pocztowej nie załapie sie na systemowy backup ;)
Dokładnie :)
po 2gie komunikacja via „e-mail” jest przecież „objęta” tajemnicą korespondencji ^^
więc np
ehhh
Ja tam się z nich nie śmieje, miałem taki sam błąd w swoim sklepie internetowym.
15 lat temu ;)