Sklep REDISBAD udostępniał bazy danych klientów i zamówień bez autoryzacji

dodał 25 lipca 2017 o 13:21 w kategorii Włamania  z tagami:
Sklep REDISBAD udostępniał bazy danych klientów i zamówień bez autoryzacji

Jeżeli kiedykolwiek kupowaliście odzież patriotyczną z serwisu REDISBAD to Wasze dane osobowe (w tym adresowe) oraz dane Waszych zamówień zostały ujawnione całemu światu. Tak kończy się nieprawidłowa konfiguracja usług…

Prowadzenie interesów w sieci, choć atrakcyjne z handlowego punktu widzenia, obarczone jest większym ryzykiem wycieku danych klientów. Szczególnie, jeśli administrator sklepu internetowego nie do końca wie, co robi.

Wersja deweloperska dla każdego!

Od parunastu minut otrzymywaliśmy od Was liczne wskazówki, że jeden z popularnych sklepów z odzieżą patriotyczną ma poważne problemy z bezpieczeństwem danych swoich klientów i ich zamówień. W pewnej facebookowej grupie miłośników PHP pojawiła się informacja, że administrator serwisu udostępnił wersję deweloperską każdemu internaucie. Użytkownicy szybko znaleźli także inne wpadki konfiguracyjne, które zgłosili właścicielom. Ci jednak, zamiast sklep natychmiast wyłączyć, zaczęli naprawiać go w środowisku produkcyjnym. Przez około godzinę dane klientów sklepu i ich zamówień były dostępne dla każdego internauty, który znał odpowiednie linki.

Interfejs deweloperski wyglądał tak:

Ten dostęp został dość szybko zablokowany, jednak nadal autoryzacji nie wymagały wywołania API, jak np.

https://www.redisbad.pl/api/client/list

Wysłanie takiego zapytania z odpowiednim limitem dawało w odpowiedzi zestawy takich danych jak imię, nazwisko, adres zamieszkania, adres dostawy, numer telefonu, adres email. Rzut oka na indeksy bazy danych pokazuje, że skala wycieku mogła być całkiem spora:

Podobnie wyglądały listy zamówień czy inne dane sklepu internetowego. API umożliwiało także dodawanie czy usuwanie wpisów z bazy, zatem prawdopodobnym jest, że konieczne będzie przywrócenie stanu sprzed ujawnienia błędów w oparciu o kopie bezpieczeństwa…

Niestety fakt, ze administracja sklepu nie wyłączyła go na czas wprowadzania poprawek spowodował, że wielu internautów (sądząc po liczbie zgłoszeń do nas napływających) zwróciło uwagę na błędy i mogło próbować je wykorzystać przez przynajmniej godzinę od zawiadomienia do naprawienia błędnej konfiguracji. Brak wystarczających kompetencji przy zabezpieczaniu sklepu najwyraźniej rzutował także na możliwość prawidłowej reakcji na incydent bezpieczeństwa. Smutne.

Aktualizacja 2017-07-25 19:00
Właściciele serwisu REDISBAD skontaktowali się z nami i przekazali swoje oświadczenie w związku z incydentem:

Dzisiaj około godziny 12:30 dowiedzieliśmy się o istnieniu błędów związanych z bezpieczeństwem naszego sklepu internetowego . Nieupoważnione osoby, znające niektóre linki związane z techniczną obsługą sklepu, mogły uzyskać dostęp do danych widocznych tylko dla obsługi serwisu.Informacje niezwłocznie przekazaliśmy firmie odpowiadającej za obsługę techniczną, która usunęła błędy. Nie można wykluczyć możliwości przeprowadzenia spersonalizowanego cyberataku na nasz sklep internetowy.

Obecnie prowadzona jest analiza przez niezależnych ekspertów zewnętrznych, zmierzająca do ustalenia dokładnego przebiegu wydarzeń i ich możliwych skutków dla bezpieczeństwa danych naszych Klientów oraz firmy. Dalsze informacje będziemy przekazywać niezwłocznie gdy tylko będzie to możliwe.

Jednocześnie pragniemy Państwa zapewnić, że bezpieczeństwo naszych Klientów, w tym ich danych osobowych jest dla nas priorytetem, a wyniki przeprowadzonej analizy incydentu zostaną wykorzystane do dalszego doskonalenia środków bezpieczeństwa.

Firma Red is Bad

Trzeba przyznać, że serwis szybko zareagował na zgłoszenie problemu – usunięcie problemu w ciągu kilkudziesięciu minut to dobry wynik. Warto także docenić dojrzałą postawę po incydencie – zamiast zamiatać go pod dywan, trzeba go przeanalizować i wyciągnąć wnioski na przyszłość.

Jeśli chcecie, by Wasz administrator takich wpadek uniknął, to wyślijcie go na nasze szkolenie z bezpieczeństwa aplikacji WWW – już we wrześniu w Warszawie.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 6 – 8 września 2017
(do 30 lipca 2017 10% rabatu!)

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Mateusz Kocielski
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia

Dziękujemy wszystkim Czytelnikom, którzy podesłali informacje o incydencie.