25.02.2015 | 20:12

Adam Haertle

16 komentarzy

Strona Paczkomatów udostępniała za dużo danych swoich użytkowników

Znając jedynie adres email użytkownika serwisu Paczkomaty.pl można było poznać jego imię, nazwisko, adres, numer telefonu komórkowego oraz numer rachunku bankowego. Błąd został załatany przez firmę w kilka godzin po naszym zgłoszeniu.

Jeden z naszych Czytelników, ukrywający się pod pseudonimem świniak, wskazał nam na interesujący błąd w mechanizmie wyszukiwania odbiorców przesyłek w serwisie Paczkomaty.pl. Już samo wyszukiwanie działało w ciekawy sposób, a dodatkowo przy okazji ujawniało dużo więcej informacji niż powinno. Firma zareagowała ekspresowo i usunęła błąd oraz kontrowersyjną funkcję wyszukiwania.

Uwaga
Problem dotyczył jedynie użytkowników, którzy założyli konto na stronie Paczkomaty.pl i tylko w zakresie danych, jakie podali w serwisie. Użytkownicy korzystający z Paczkomatów tylko jako odbiorcy nie byli nim dotknięci.

JSON o zbyt rozrzutnym podejściu do danych

Paczkomaty chciały ułatwić swoim użytkownikom nadawanie paczek. Elementem tego ułatwienia było wypełnianie danych odbiorcy tylko na podstawie adresu poczty elektronicznej. Po podaniu adresu odbiorcy i kliknięciu „wyszukaj” formularz magicznie wypełniał informacje takie jak numer telefonu komórkowego oraz preferowany paczkomat odbiorcy.

Z innego konta wyszukujemy odbiorcę po adresie email

Z innego konta wyszukujemy odbiorcę po adresie email

Choć już sama ta funkcja jest dość kontrowersyjna (więcej na ten temat w dalszej części artykułu), to główny problem tkwił w tym, co serwer przesyłał do przeglądarki. Wyglądało to tak:

Otrzymujemy wszystkie dane w odpowiedzi

Otrzymujemy wszystkie dane w odpowiedzi

Oprócz danych ujawnianych na stronie (nr telefonu i paczkomat) komunikat JSON zwracał także takie informacje jak:

  • imię i nazwisko,
  • pełen adres (miasto, kod pocztowy, ulica, nr domu, nr lokalu),
  • numer rachunku bankowego.

Ekspresowa reakcja Paczkomatów

Na początku listopada zeszłego roku przesłaliśmy przez formularz kontaktowy na stronie paczkomaty.pl informację o odkryciu Czytelnika. Po 3 godzinach (!) otrzymaliśmy odpowiedź Krystiana Jamroza, Pełnomocnika Zarządu ds. Bezpieczeństwa Informacji, który poinformował, że błąd został zweryfikowany, potwierdzony i naprawiony. Firma po dalszej analizie stwierdziła także, że nie znalazła śladów wykorzystywania błędu do nieautoryzowanego pozyskiwania danych użytkowników serwisu. Przez kolejne dni otrzymywaliśmy regularne aktualizacje statusu sprawy aż do oficjalnego stanowiska firmy kilka dni później. Zgłosiliśmy już sporo incydentów różnym firmom i instytucjom ale nigdy do tej pory nie spotkaliśmy się z tak szybką reakcją – zarówno odpowiedzią jak i załataniem błędu. Paczkomatom należą się w tej kwestii gratulacje. Poniżej zamieszczamy kluczowy fragment stanowiska firmy InPost, operatora serwisu Paczkomaty.pl.

Na podstawie informacji, przesłanych przez Redaktora serwisu Zaufana Trzecia Strona, potwierdzony został opisywany błąd w ostatniej aktualizacji aplikacji internetowej Manager Paczek, polegający na zwracaniu nadmiarowych danych w strukturze json. Błąd nie powodował publikacji żadnych informacji w sposób jawny i łatwy do uzyskania. Po otrzymaniu informacji niezwłocznie (w ciągu 3 godzin) wdrożony został hotfix zabezpieczający aplikację i uniemożliwiający przesyłanie nadmiarowych informacji. Opierając się na analizie wykorzystania danych oraz przepływów informacji, jednoznacznie można ocenić, iż nie doszło do żadnego nadużycia przy użyciu funkcji zwierającej błąd.

Postępowanie wyjaśniające wykazało, iż nie zostały zachowane obowiązujące instrukcje przez jednego z pracowników odpowiedzialnych za aktualizację aplikacji Managera Paczek. Naruszył on procedury, które obowiązują przy wdrażaniu wszystkich nowych wersji aplikacji/stron w naszej spółce. W celu udoskonalenia procesów i procedur oraz uniknięcia podobnych problemów w przyszłości, poza wewnętrznym postępowaniem rewidującym, zlecony został stosowny audyt specjalistycznej firmie zewnętrznej.

Kontrowersyjne wyszukiwanie

Jak już wspominaliśmy, błąd występował w funkcji wyszukiwania danych zarejestrowanego użytkownika serwisu. W założeniu na podstawie zaledwie adresu poczty elektronicznej można było poznać numer telefonu komórkowego użytkownika oraz jego preferowany paczkomat (a zatem przybliżoną lokalizację). Trudno nam było uwierzyć, że dane użytkowników są w taki sposób udostępniane każdemu zainteresowanemu. Zapytaliśmy kilka osób, posiadających konta na Paczkomaty.pl – żadna z nich nie zdawała sobie sprawy z tego, że jej dane są w ten sposób udostępniane.

Sprawdziliśmy, że w procesie rejestracji konta informacja o tym nie była podawana w wyraźny sposób użytkownikowi. Odpowiednie zapisy – choć dalekie od doskonałych – znajdowały się w regulaminie świadczenia usług. Jego drugi paragraf, punkt 20 mówił:

Udostępnienie tych danych (numer telefonu, preferowany paczkomat – przyp. red.) odbywa się podczas procesu nadawania paczki, po prawidłowym wpisaniu adresu e-mail użytkownika i opłaceniu przesyłki.

Zapis ten nie był zgodny ze stanem faktycznym – dane były udostępniane bez potrzeby opłacania przesyłki. Aktualna wersja regulaminu obowiązująca od końca grudnia 2014 zawiera obecnie identyczny zapis w paragrafie 2, punkcie 7, lecz funkcja wyszukiwania po adresie poczty elektronicznej została usunięta z interfejsu użytkownika. Cieszymy się, że problem został szybko i sprawnie rozwiązany.

Powrót

Komentarze

  • 2015.02.25 20:16 Adrian

    Hehe, wszyscy zamawiacze dopalaczów i innych tego typu produktów powinni się zainteresować tym newsem.

    Odpowiedz
    • 2015.02.25 22:14 kez87

      Jeśli te ćpuny i tego rodzaju „gangsta” są tak głupi, by mieć ulubiony paczkomat i korzystać z takiego narzędzia, to TYM BARDZIEJ zasługują na wszelkie możliwe konsekwencje. No przecież nie trzeba być Einsteinem by rozumieć,że w przypadku takiej kontrabandy:
      1.To oznacza więcej śladów (no chyba,że po to to taki typek robi – zwalenie na kogoś winy i udawanie kuriera ?)
      2.Samo korzystanie z paczkomatu jest ryzykowne dla przestępców – wystarczy,że Policja się dogada z firmą od paczkomatów w sprawie wykrytej jakoś kontrabandy ( W chwili odebrania przesyłki sygnał na posterunek i telefon od dyżurnego do ludzi w terenie. Jak jeszcze radiowóz cywilny i ubrani po cywilnemu – delikwent jest na 99% załatwiony).
      W ogóle, to paczkomat i osobie uczciwej może być kłodą pod nogi. Kicha i tyle, przychodzi paczka kurierem – to należy otworzyć przy kurierze, aby móc zgłaszać ewentualną reklamację przy transporcie (inaczej odrzucą),a tak to zawsze mogą utrzymywać,że to twoja wina.Zresztą regulamin inpostu też jest ciekawy,zwłaszcza 10.1g. Jak sprzedawca byłby nieuczciwy to jeszcze gorzej,na dobrą sprawę uszkodzenie co do którego nie byłoby możliwości ustalenia, czy nastąpiło przed sprzedażą,podczas transportu czy po oznacza stratę dla kupującego.

      Odpowiedz
  • 2015.02.25 20:49 Duży Pies

    Naprawa w 3 godziny po zgłoszeniu, to bardzo szybko! Mimo wpadki, nadal ich szanuję. Pokajali się, naprawili błąd i nie poszli w lekceważenie na które stać wielkich świata IT. Tak trzymać:)

    .
    „postępowanie rewidujące” – brzmi groźnie.
    Czy „odpowiedzialny za aktualizację aplikacji” jeszcze pracuje w InPost? ;)

    Odpowiedz
    • 2015.02.26 21:56 qj0n

      Dobry menadżer by takiego nie zwolnił…

      Odpowiedz
      • 2015.02.26 22:52 Duży Pies

        Brakuje uzasadnienia.
        Pisz zawsze „dlatego że…” – wtedy będę rozumiał o ci Ci chodzi

        Odpowiedz
  • 2015.02.25 22:13 Alex

    Ja jestem w szoku. Nie ze względu na czas reakcji, ale na otwarte postawienie sprawy jasno.
    Niewiele jest firm w branży, które potrafią przyznać się do błędu, a nie mataczą, bagatelizują i za wszelka cenę starają się zatuszować sprawę.
    InPost zyskuje w moim mniemaniu 100ptk reputacji.

    Swoją drogą ciekawy jestem, jak wyglądało to wewnętrznie, jaka musiała być walka między Bezpiecznikami, a PRowcami przy wysłaniu takiego stanowiska.

    Odpowiedz
  • 2015.02.25 22:43 K

    niestety, jeśli chodzi o bugbounty z inpostu to nie ma co liczyć. osobiście się o tym przekonałem.
    fakt, błąd poprawili natychmiast, ale żadnego „dziękuję” tylko „zajmiemy się tym”.

    Odpowiedz
  • 2015.02.26 00:20 Jan

    „Im mniej firm będzie dawało prezenty i dziękowało za tego typu działania …” tym więcej może być chętnych aby zarobek uzyskać sprzedając informację o błędzie na czarnym rynku.

    Odpowiedz
  • 2015.02.26 01:33 Michał Przybyś

    Wait, wait, wait, wait, wait, wait, odpalenie narzędzi dla developera w przeglądarce to przestępstwo? W mordę jeża, nietoperza, w długi sen zimowy musiałem zapaść, że przeoczyłem info o tym…

    Odpowiedz
  • 2015.02.26 02:44 mkki

    A następnym razem wielki błąd np. Facebooka, który ktoś przez przypadek odkryje, umożliwiający np. zmianę hasła dowolnego użytkownika i wyłączenie 2FA zamiast sprzedać Facebookowi, pójdzie za taką samą kwotę (lub wyższą) na czarny ryenk.

    Odpowiedz
  • 2015.02.26 08:53 kez87

    „Im mniej firm będzie dawało prezenty i dziękowało za tego typu działania, tym takie działania będą rzadsze, a dzięki temu jest szansa, że młodzi ludzie, zupełnie nieświadomi konsekwencji, nie będą wchodzili w zawodowe życie z wyrokami bo myśleli, że dostaną nagrodę i że to przecież zabawa była…”

    Jeśli za szukanie dziur w aplikacjach nie będzie nagrody,to „komputerowe podziemie” z pewnością na tym naprawdę skorzysta tak jak robiło to dawniej. Traktowanie „głębokiego ukrycia” jako od razu „nie zamówionego testu penetracyjnego” to chyba przesada, no ale – jeśli władzunia i różni zechcą… w końcu to ich będzie dotyczyć „płacz i zgrzytanie zębów” :) gdy dane wędrować będą do szarej strefy,a najlepsi specjaliści nie ujawnią się z obawy przed więzieniem w którym tak jak Mitnicka odizoluje się ich na lata ;) (Sam nie trafiłem wcale do pierdla – mnie tylko tak jakoś ułożyła się moja droga życia,że pomimo czytania o bezpieczeństwie już w czasach RH 7, i pierwszych niezdarnych prób programowania poszedłem w inną stronę w życiu niż programowanie czy bezpieczeństwo.I trochę żałuję,bo może zamiast gnić bez pracy / robić byle co za ochłapy,może miałbym teraz kilka k euro albo dolarów miesięcznie…) Naprawdę Bug Bounty, to i tak nędzne grosze, w porównaniu z wartością czarnorynkową takich danych i dziur. Nędzne grosze. A firmy oszczędzają na testach za bardzo. Oczywiście takie oszczędności i ujawnianie czyichś danych to „nie przestępstwo”…
    A jeśli nawet GIODO powie inaczej,to przecież „ten socjalistyczny rząd chce uwalić kolejną firmę” na wykopie i tyle by było.

    Odpowiedz
  • 2015.02.26 11:00 kk

    podobny błąd był obecny kilka lat temu na panoramafirm.pl – zbyt otyły w informacje json. usuneli w ciagu paru dni.

    Odpowiedz
  • 2015.02.26 11:42 steppe

    Podoba mi się to. Jedna strona chce dobrze i zgłasza problem. Druga też ma dobre intencje, przyznaje rację i poprawia. Krótko i korzystnie dla wszystkich. To się nazywa normalność. Szkoda, że czasem ludzie (lub instytucje) mają problem z właściwą reakcją, zaprzeczają jak alkoholicy, albo udają, że nic się nie stało. Podatności są i będą, trzeba to potraktować dojrzale. Tak przy okazji: kojarzy ktoś zabawną historię zgłoszenia podatności Calibre autorowi? Nie mam pod ręką linka, ale to była klasyczna historia, jak nie należy reagować na zgłoszenia.

    Co do nagród za zgłaszanie podatności. Nikt nie ma obowiązku ich przyznawania. Nie ma sensu domagać się od wszystkich takiego podejścia. Za to zgłoszenie komuś problemu można potraktować jako drobną przysługę dla ludzkości ;) Nie zmienia to faktu, że nagrody są świetnym katalizatorem dobrej współpracy.

    Odpowiedz
  • 2015.02.26 12:05 mały kotek

    @Borys
    Twoje porównanie jest bardzo niedokładne i logicznie niespójne z przykładem. W tym wypadku drab nie sprzedał gonga, zwrócił tylko uwagę na to, że masz garde za nisko i w tym przypadku nie jest to zwykła, pierwszą lepszą osobą z ulicy tylko ochroniarz, który bierze pieniądze za to, że dba o bezpieczeństwo.

    IMHO to firma, w której oprogramowaniu znaleziono błąd i błąd ten zagraża dobru innych powinna być karana. Idąc dalej, firma Inpost nie wywiązała się z umowy jaką zawarła ze swoimi klientami, może powinna każdemu wystawić stosowną korektę ;-)

    Odpowiedz
  • 2015.02.26 12:18 Przemko

    Mają dobrych pijarowców. Muszą mieć najlepszych bo przypominam że próbują wejść na miejsce Poczty Polskiej. Jak już będą monopolistami wszystko wróci do normy.

    Odpowiedz
  • 2015.02.26 14:07 Artur

    Woow i takie cos mowi Osoba zajmujaca sie bezpieczenstwem w sieci…Jesli nie bedzie BIG BOUNTY tak mniej osob sie zajmie szukaniem tego typu podatnosci, ale wierz mi ze znalezione beda wykorzystane w bardziej „niecnych” celach. Mniej osob bedzie mialo taka wiedze to fakt ale bledy beda dluzej na serwerach i beda mogly byc dluzej wykorzystane na szkode uzytkownikow…pytanie tylko komu na tym zalezy.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Strona Paczkomatów udostępniała za dużo danych swoich użytkowników

Komentarze