27.08.2019 | 21:25

Adam Haertle

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.

Kilka dni temu Czytelnik, pragnący zachować anonimowość, zgłosił nam bardzo prosty, choć potencjalnie brzemienny w skutkach błąd na stronie serwisu Selgros24.pl. Po kilku dniach udało się nam uzyskać reakcję sklepu – jednak była ona dla nas dość zaskakująca.

Trywialny błąd

Problem, na który trafił Czytelnik, był bardzo, ale to bardzo prosty. URL do pobrania duplikatu faktury wyglądał tak:

https://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX

gdzie w miejscu XXXXXX znajdował się liczbowy identyfikator dokumentu. Domyślacie się już pewnie, co trzeba było zrobić, by pobrać cudzy dokument – tak, trzeba było zmienić liczbę na końcu URL-a na dowolną inną. Liczby sięgały wartości powyżej 300 000, a dokumenty pochodziły co najmniej z 5 ostatnich lat. Dostępne w ten sposób dokumenty zawierały zarówno dane klientów (imię, nazwisko, nazwa firmy, NIP, adres), jak i listę wykonanych zakupów. Link działał dla każdego zalogowanego użytkownika sklepu, a aby się zalogować, wystarczyło po prostu założyć konto online.

Przykładowy dokument

Ciekawa reakcja

Czytelnik błąd zgłosił sklepowi oraz nam. Poprosiliśmy w czwartek sklep o komentarz, lecz do poniedziałku nie doczekaliśmy się żadnej odpowiedzi. Poszukaliśmy zatem na LinkedIn szefa IT firmy Transgourmet Polska zarządzającej sklepem i otrzymaliśmy informację, że odpowiedź dotrze dzisiaj. Zgodnie z obietnicą dotarła. Poniżej jej pełna treść:

W nawiązaniu do Pana pytania skierowanego  dnia 22 sierpnia 2019r., pragnę poinformować, iż Spółka otrzymała zgłoszenie dotyczące nieuprawnionego dostępu do systemu strony internetowej selgros24.pl. Zgłoszenie zostało zarejestrowane, dokładnie przeanalizowane i podjęte zostały wszelkie czynności wynikające z powszechnie obowiązujących przepisów prawa w tym zakresie. Nie doszło do jakiejkolwiek innej nieuprawnionej ingerencji w system zabezpieczeń. Pomimo, iż dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych, celem wyeliminowania ewentualnych zagrożeń w przyszłości strona internetowa otrzymała dodatkowe zabezpieczenia, które zostały zastosowane w dniu wpłynięcia zgłoszenia. Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.

Według posiadanych przez nas informacji błąd został dość szybko usunięty z serwisu. Niestety z odpowiedzi, którą otrzymaliśmy, nie dowiemy się, czy firma np. powiadomiła UODO o incydencie. Dowiemy się za to czegoś bardzo ciekawego. Zdaniem specjalisty ds. ochrony danych osobowych, który podpisał się pod odpowiedzią, „dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych”. Woooow. Możliwość pobierania cudzych dokumentów z danymi osobowymi i listami zakupów przed zmianę wartości liczbowej w linku o 1 to „standard stosowany na tożsamych stronach internetowych”? Naprawdę? Pierwszy raz trafiamy na taki argument w stanowisku sklepu i myśleliśmy, że nasze zaskoczenie nie może być większe. Myśleliśmy tak jednak tylko do momentu gdy przeczytaliśmy ostatnie zdanie wiadomości…

Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.

Wspomniany artykuł mówi o ochronie dóbr osobistych. Znamy go dość dobrze – wielokrotnie firmy lub osoby, których problemy, wpadki lub celowe działania były tematami naszych artykułów próbowały zmusić nas do usunięcia wpisów lub ich modyfikacji, powołując się miedzy innymi na zapisy art. 24 KC. Za każdym razem bezskutecznie. Naszym zadaniem jest opisywanie wydarzeń ze świata bezpieczeństwa w sposób bezstronny, obiektywny i oparty na faktach oraz dowodach. Jeśli zatem firma Transgourmet Polska zdecyduje się przygotować pisma przedprocesowe (lub procesowe), prosimy, by miała szczególnie na uwadze prawo prasowe oraz część ogólną Kodeksu Cywilnego.

Powrót

Komentarze

  • 2019.08.27 21:51 Artur

    Fakt, Wy obiektywnie przedstawiacie swiat IT/Security, w przeciwienstwie do konkurencji, ktora mocno miesza te tematy z polityka. Wielki plus dla Was.

    Odpowiedz
    • 2019.08.28 09:41 ciekawy

      Albo z własnymi szkoleniami ;)

      Odpowiedz
      • 2019.08.29 13:53 czytelnik

        Ot to…. u konkurenta to artykuły zaczynają się od fabularyzowanej opowieści, o tym jak się zabezpieczyć można się dowiedzieć na płatnym szkoleniu.

        Odpowiedz
  • 2019.08.27 21:52 Starszy czytelnik

    > wielokrotnie firmy lub osoby, których problemy, wpadki lub celowe działania były tematami naszych artykułów próbowały zmusić nas do usunięcia wpisów lub ich modyfikacji powołując się miedzy innymi na zapisy art. 24 KC. Za każdym razem bezskutecznie.

    Czy tylko ja mam tak długi staż czytelniczy, że pamiętam że jednak jeden artykuł skasowaliście? Dotyczył pewnego biura informacji o dłużnikach.

    Odpowiedz
    • 2019.08.27 22:06 Adam Haertle

      Nie udało się zweryfikować prawdziwości informacji, o które oparty był artykuł, więc jego publikacja była błędem – dlatego została cofnięta.

      Odpowiedz
    • 2019.08.27 22:26 ds

      A artykuł o kancelarii prawnej, z której wykradziono wrażliwe dane, dlaczego usunęliście?
      https://zaufanatrzeciastrona.pl/post/ogromny-wyciek-danych-duzej-polskiej-kancelarii-skutkiem-niedawnych-atakow/

      O ile mi wiadomo, to w Polsce nie istnieje coś takiego jak gag order – tzn. służby nie mogą zmusić dziennikarza do usunięcia artykułu ze strony, którą prowadzi. A może się mylę?

      Odpowiedz
      • 2019.08.27 22:59 Adam Haertle

        Ponieważ jego publikacja realizowała cele przestępców, nie dając jednocześnie żadnej wartości poszkodowanym.

        Odpowiedz
    • 2019.08.28 10:51 Sebastian

      Ale można zwyczajnie nie pisać o tematach które mają zostać w prywatnym gronie. Ja bym Zaufanej Trzeciej Strony o coś takiego nie podejrzewał, ale niech się wypowiedzą lepiej poinformowani: https://www.wykop.pl/link/4150689/#comment-52487051

      Odpowiedz
  • 2019.08.27 22:39 Jan

    Patrząc z boku – spec Selgrosa ma rację – ani dane klientów fakturowych tej firmy nie da objęte RODO bo to firmy ani ceny na fakturach nie da tajemnicą – są w gazetkach i na stronie – więc o co chodzi w artykule?

    Odpowiedz
    • 2019.08.27 23:04 Michał

      Jesteś pewny, że nie są tajemnicą? A może właśnie są bo dają wgląd w to co ktoś kupuje i w jakiej ilości. Pozwala to wyciągnąć daleko idące wnioski. Ot te nieszkodliwe metadane

      Odpowiedz
    • 2019.08.27 23:04 Adam Haertle

      Patrząc z boku mógłbyś chociażby sprawdzić, że w Selgrosie mogą śmiało rejestrować się także osoby fizyczne: https://selgros24.pl/rejestracja-karty?origin=selgros24pl

      Odpowiedz
    • 2019.08.27 23:16 j

      Przecież dało się pobrać:
      – dane osobowe osób fizycznych
      – dane osobowe osób fizycznych prowadzących działalność gospodarczą
      ustalić:
      – na co jest największy popyt u firm zaopatrujących się w Selgrosie; ustalić co najlepiej się sprzedaje w Selgrosie (te dane mają również swoją wartość)
      Przygotować:
      – kampanie phishing pod konkretnych klientów (kupon na zakupy – > klon sklepu – > wyłudzenie danych do bankowości/płatność na słupa

      Odpowiedz
      • 2019.08.28 09:53 vimrc

        Ale on patrzył z boku

        Odpowiedz
    • 2019.08.28 06:41 G12

      a więc… więcej szkoda da to firmie niż klientowi, bo bedą wiedzieć co kupuje klient i beda mu oferować te same lub podobne towary taniej XD

      Odpowiedz
    • 2019.08.28 13:55 loreena

      Niezupełnie.
      „W praktyce […] dane o przedsiębiorcach wpisanych do KRS nie podlegają restrykcyjnym rygorom przetwarzania wynikającym z postanowień RODO. Jednak w przypadku danych przedsiębiorców, którymi są osoby fizyczne prowadzące jednoosobową działalność gospodarczą (przedsiębiorcy wpisani do CEIDG) RODO w pełni odnajdzie zastosowanie.”
      https://odo24.pl/blog-post.czy-faktury-podlegaja-rodo-najpopularniejsze-fakty-i-mity

      Odpowiedz
      • 2019.09.13 07:51 yoda

        Niezupełnie
        :)
        proponuję po 1 nie brać za „dobrą” monetę wszystkiego co piszą na odo24 :) warto mieć „zawsze” wątpliwość (Łona i Webber)

        po 2 : w KRS są także podmioty, które nie są osobami prawnymi (spółki jawne, komandytowe itp..)
        w motywie 14, na który zapewne powołuje się autor publikacji jest mowa o osobach prawnych i określeniu „co do zasady” to nie znaczy, że zawsze.
        Proponuję zapoznać się z komentarzem :
        Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz WKP 2018
        do art. 4 RODO oraz powołanych tam wyroków Trybunału Sprawiedliwości C-92/09 i C-93/09

        Odpowiedz
    • 2019.10.01 14:30 Bogdan

      Zgodnie z RODO dane osobowe osób prywatnych prowadzących działalność gospodarczą są danymi osobowymi objęte są tym samym ochroną tzw. RODO.

      Odpowiedz
  • 2019.08.28 00:34 VM

    „dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych” Może pan z Transgourmet wie coś o czym my nie wiemy? :P trzeba by było sprawdzić teraz, bo może faktycznie na „tożsamych stronach” (cokolwiek to znaczy – ogólnie sklepy internetowe? hurtownie? czy może strony korzystające z tego samego systemu?) są podobne „zabezpieczenia”.

    ps. @jan – nawet gdyby nie było możliwości pobrania danych osób fizycznych (a jak już wspomniano w komentarzach – były) to mając możliwość przejrzenia faktur 5 lat wstecz można zbudować baaardzo dokładne profile firm – co kupują, w jakich ilościach i z jaką częstotliwością etc. Mnóstwo danych do przygotowania wiarygodnych kampanii/ataków. Przykładem może być K. Mitnick i magiczna fraza „łamałem ludzi, nie hasła”. Polecam tą książkę każdemu kto jeszcze nie czytał. Więc nawet jeśli nie „wyciek danych osobowych” to z pewnością znaczne naruszenie bezpieczeństwa.

    Odpowiedz
  • 2019.08.28 01:04 Wiktor

    Szef IT, mi by było wstyd.

    Odpowiedz
  • 2019.08.28 06:54 Miki

    Nie trzeba daleko szukac.W zeszlym tygodniu wielka afera w szwecji po tym jak jednen z rodzicow przy zmianie wlasnie tego typu parametrow uzyskiwal dostep do danych innych(skolplattformen -Platforma szkolna jest wspólną platformą cyfrową dla wszystkich form szkolnych Sztokholmu: przedszkola, szkoły podstawowej, ponadgimnazjalnej i edukacji dorosłych, w tym szkół specjalnych.).Po analizie okazalo sie ze wystarczyl skrypt by wyciagnac wszystko od komentarzy danych osobowych po oceny i dane nauczycieli.Portal wylaczono do poprawki(calkowity koszt prawie 1mld koron tj. okolo 406 mln PLN.Utrzymanie rocznie 120 mln koron(ale wychodzi czesto wiecej.To tylko zalozenia) tj okolo 49 mln PLN.(zakladane koszty utworzenia byly nizsze ale wzrosly do tej kwoty)Wyszlo drozej niz wikipedia.

    Odpowiedz
  • 2019.08.28 08:08 muchar

    Nie pamiętam, czy u nich miałem założone konto kiedykolwiek. Myślicie, że warto pokusić się o odpytanie, jakie dane osobowe moje przetwarzają?

    Odpowiedz
  • 2019.08.28 11:50 tmk

    Ochrona danych osobowych to bzdura. Co chwilę gdzieś wyciekają. Przy każdym zakupie na allegro ktoś dostaje wasze dane.
    Rozwiązanie powinno polegać na silnej weryfikacji ludzi przy zawieraniu umów. Tak żeby pomimo wycieku dane były bezwartościowe.

    Odpowiedz
    • 2019.08.28 14:47 M.

      >Ochrona danych osobowych to bzdura.
      podobnie jak wiele innych – np. tajemnica korespondencji przy korzystaniu z Allegro – przechodzą przez ich serwery wszystkie informacje, nawet pozakupowe i prywatne.

      Odpowiedz
    • 2019.08.28 21:25 Alx

      Racja. Dodatkowo domyslnie obciążać winą za błędnie przyznaną „chwilówkę” kredytodawców.

      Odpowiedz
    • 2019.08.29 10:01 mec

      Czysta mzonka.
      bankom, telecomom sie oplaca to ze dane wyciekaja i sa brane kredyty/telefony. tak wspolczesnie zarabiaja – i to nie male pieniadze.

      Odpowiedz
    • 2019.09.13 07:53 yoda

      Czyli jak rozumiem już nie robicie zakupów na allegro?
      :D

      Odpowiedz
  • 2019.08.28 14:53 KRIS

    „Pomimo, iż dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych”
    Nie rozumiem czego się czepiacie. Przecież uczciwie gość napisał, że na wszystkich stronach zarządzanych przez nich jest taka sama padaka.

    Odpowiedz
  • 2019.08.28 22:05 K.

    Taka mała uwaga. Tytuł artykułu trochę wprowadza w błąd. „Setki tysięcy faktur” były dostępne dla każdego. Przedstawiłeś screena „WZ – Duplikat”. Dowód WZ to raczej nie faktura.

    Odpowiedz
    • 2019.08.28 22:08 Adam Haertle

      Były także faktury, a oba rodzaje dokumentów zawierają te same dane.

      Odpowiedz
  • 2019.08.29 07:27 HardwareBased

    Poruszyl redakcje belkot prawniczy bo ta odpowiedź zapewne wlasnie taka miala być bo pisal ja pewnie ich prawnik. Wszyscy lapiemy sie na to wadliwe myslenie ze jest sobie oto cos tego czegos zabezpieczenia. zapytam prze to gdzie sie podzialo 'security by design’ – to jego zabraklo i bezpiecznej aplikacji CRM a nie 'zabezpieczen strony’ ktore zreszta zgodnie z prawda byly zapewne „tożsame” :)

    Odpowiedz
    • 2019.08.29 11:18 ech

      A tak bardziej po polsku to co byś chciał powiedzieć?

      Odpowiedz
      • 2019.08.29 14:59 HardwareBased

        Tylko tyle, że tak długo jak mówić będziemy o „zabezpieczaniu” zamiast o „budowaniu bezpiecznego” tak długo można będzie napisać „przecież strona była standardowo zabezpieczona”. Bo to w istocie zapewne prawda w tym przypadku. Tyle, że oczywiście poprzestać na „zabezpieczaniu serwera czy strony nie można. Dziś juz przepisy obligują do stosowania zasady „security by design” tylko ciągle dla zlecających i dla wdrażających pozostaje kwestią dowolnej interpretacji co to w praktyce oznacza. W komentarzu dla tej luki zacytuję co ktoś gdzieś w necie napisał: „Finally, many API vulnerabilities are associated with flaws in business logic. This allows hackers to use legitimate workflows in a malicious way, thereby triggering some unintended action which really depends on the nature of the workflow” i dla takich błedów żadne „zabezpieczanie” nie będzie skuteczne a działanie „bezpieczników” co najwyżej pozwoli tylko na wczesne wykrycie podatności.

        Odpowiedz
        • 2019.09.13 07:58 yoda

          W kontekście RODO nie ma czegoś takiego jak:
          standardowe zabezpieczenie ;)
          zabezpieczenie ma być dobrane adekwatnie do zagrożeń albo jak kto woli ryzyka.
          Tylko nie ryzyka wycieku danych tylko RYZYKA jakie dotyczy OSÓB, których dane dotyczą

          to jest jeden z głównych problemów w „rozumieniu” podejścia do zabezpieczeń

          Odpowiedz
  • 2019.08.29 11:57 Stivo75

    Identyczna luka jest w systemie fakturowania jednej firmy ze Stargardu http://fak.hord.pl/
    Po założeniu konta możemy sobie iterować wszystkie faktury http://fak.hord.pl/faktura_sprzedaz_edycja.php?id=%5B1,2,3,4%5D

    Zgłosiłem w czerwcu tej firmie incydent aby to zgłosili do UODO ale niewiele zrobili. Luka pozostała i można sobie przeglądać dowolne faktury zarejestrowanych tam firm.

    Np : http://fak.hord.pl/faktura_sprzedaz_edycja.php?id=9163
    Mało tego, oprócz iteracji możemy je jeszcze edytować, kasować itd, pełen hardcore ( ͡° ͜ʖ ͡°)

    Odpowiedz
    • 2019.09.17 14:41 MasterPit

      Cała ta strona, to jakiś żart. Logowanie po HTTP, jak wymusisz HTTPS, to na protokole self signed jest wystawiony landing page systemu parallels.

      Odpowiedz
  • 2019.08.29 11:58 ktos

    Jedna ze szkół policealnych, której jest zielono ( ;) ) też miała taką możliwość (zmiana id użytkownika w url) dzięki której wyświetlał się (częściowo) profil innej osoby. Można było zobaczyć imię i nazwisko, oraz kilka innych rzeczy (ale np planu zajęć już nie). Teraz ten bug już nie istnieje, ale dłuuugi czas istniał.

    Odpowiedz
  • 2019.08.29 14:09 czytelnik

    Przy okazji pytanko. Sklep internetowy po założeniu konta przesyła potwierdzenie na adres email o założonym koncie. A w emailu podane hasło jakie było ustalone przy zakładaniu konta w sklepie.
    Czy to znaczy, że przechowują hasła w formie jawnej?

    Odpowiedz
    • 2019.08.29 15:04 Adam Haertle

      Nie. Mogą wysłać jawne a zapisać niejawne.

      Odpowiedz
      • 2019.08.29 16:48 HardwareBased

        :) o ile outbox skrzynki pocztowej nie załapie sie na systemowy backup ;)

        Odpowiedz
        • 2019.09.13 08:00 yoda

          Dokładnie :)

          po 2gie komunikacja via „e-mail” jest przecież „objęta” tajemnicą korespondencji ^^
          więc np
          ehhh

          Odpowiedz
  • 2019.09.03 16:06 MaxiKaz

    Ja tam się z nich nie śmieje, miałem taki sam błąd w swoim sklepie internetowym.

    15 lat temu ;)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Komentarze