Strona Paczkomatów udostępniała za dużo danych swoich użytkowników

dodał 25 lutego 2015 o 20:12 w kategorii Błędy  z tagami:
Strona Paczkomatów udostępniała za dużo danych swoich użytkowników

Znając jedynie adres email użytkownika serwisu Paczkomaty.pl można było poznać jego imię, nazwisko, adres, numer telefonu komórkowego oraz numer rachunku bankowego. Błąd został załatany przez firmę w kilka godzin po naszym zgłoszeniu.

Jeden z naszych Czytelników, ukrywający się pod pseudonimem świniak, wskazał nam na interesujący błąd w mechanizmie wyszukiwania odbiorców przesyłek w serwisie Paczkomaty.pl. Już samo wyszukiwanie działało w ciekawy sposób, a dodatkowo przy okazji ujawniało dużo więcej informacji niż powinno. Firma zareagowała ekspresowo i usunęła błąd oraz kontrowersyjną funkcję wyszukiwania.

Uwaga
Problem dotyczył jedynie użytkowników, którzy założyli konto na stronie Paczkomaty.pl i tylko w zakresie danych, jakie podali w serwisie. Użytkownicy korzystający z Paczkomatów tylko jako odbiorcy nie byli nim dotknięci.

JSON o zbyt rozrzutnym podejściu do danych

Paczkomaty chciały ułatwić swoim użytkownikom nadawanie paczek. Elementem tego ułatwienia było wypełnianie danych odbiorcy tylko na podstawie adresu poczty elektronicznej. Po podaniu adresu odbiorcy i kliknięciu „wyszukaj” formularz magicznie wypełniał informacje takie jak numer telefonu komórkowego oraz preferowany paczkomat odbiorcy.

Z innego konta wyszukujemy odbiorcę po adresie email

Z innego konta wyszukujemy odbiorcę po adresie email

Choć już sama ta funkcja jest dość kontrowersyjna (więcej na ten temat w dalszej części artykułu), to główny problem tkwił w tym, co serwer przesyłał do przeglądarki. Wyglądało to tak:

Otrzymujemy wszystkie dane w odpowiedzi

Otrzymujemy wszystkie dane w odpowiedzi

Oprócz danych ujawnianych na stronie (nr telefonu i paczkomat) komunikat JSON zwracał także takie informacje jak:

  • imię i nazwisko,
  • pełen adres (miasto, kod pocztowy, ulica, nr domu, nr lokalu),
  • numer rachunku bankowego.

Ekspresowa reakcja Paczkomatów

Na początku listopada zeszłego roku przesłaliśmy przez formularz kontaktowy na stronie paczkomaty.pl informację o odkryciu Czytelnika. Po 3 godzinach (!) otrzymaliśmy odpowiedź Krystiana Jamroza, Pełnomocnika Zarządu ds. Bezpieczeństwa Informacji, który poinformował, że błąd został zweryfikowany, potwierdzony i naprawiony. Firma po dalszej analizie stwierdziła także, że nie znalazła śladów wykorzystywania błędu do nieautoryzowanego pozyskiwania danych użytkowników serwisu. Przez kolejne dni otrzymywaliśmy regularne aktualizacje statusu sprawy aż do oficjalnego stanowiska firmy kilka dni później. Zgłosiliśmy już sporo incydentów różnym firmom i instytucjom ale nigdy do tej pory nie spotkaliśmy się z tak szybką reakcją – zarówno odpowiedzią jak i załataniem błędu. Paczkomatom należą się w tej kwestii gratulacje. Poniżej zamieszczamy kluczowy fragment stanowiska firmy InPost, operatora serwisu Paczkomaty.pl.

Na podstawie informacji, przesłanych przez Redaktora serwisu Zaufana Trzecia Strona, potwierdzony został opisywany błąd w ostatniej aktualizacji aplikacji internetowej Manager Paczek, polegający na zwracaniu nadmiarowych danych w strukturze json. Błąd nie powodował publikacji żadnych informacji w sposób jawny i łatwy do uzyskania. Po otrzymaniu informacji niezwłocznie (w ciągu 3 godzin) wdrożony został hotfix zabezpieczający aplikację i uniemożliwiający przesyłanie nadmiarowych informacji. Opierając się na analizie wykorzystania danych oraz przepływów informacji, jednoznacznie można ocenić, iż nie doszło do żadnego nadużycia przy użyciu funkcji zwierającej błąd.

Postępowanie wyjaśniające wykazało, iż nie zostały zachowane obowiązujące instrukcje przez jednego z pracowników odpowiedzialnych za aktualizację aplikacji Managera Paczek. Naruszył on procedury, które obowiązują przy wdrażaniu wszystkich nowych wersji aplikacji/stron w naszej spółce. W celu udoskonalenia procesów i procedur oraz uniknięcia podobnych problemów w przyszłości, poza wewnętrznym postępowaniem rewidującym, zlecony został stosowny audyt specjalistycznej firmie zewnętrznej.

Kontrowersyjne wyszukiwanie

Jak już wspominaliśmy, błąd występował w funkcji wyszukiwania danych zarejestrowanego użytkownika serwisu. W założeniu na podstawie zaledwie adresu poczty elektronicznej można było poznać numer telefonu komórkowego użytkownika oraz jego preferowany paczkomat (a zatem przybliżoną lokalizację). Trudno nam było uwierzyć, że dane użytkowników są w taki sposób udostępniane każdemu zainteresowanemu. Zapytaliśmy kilka osób, posiadających konta na Paczkomaty.pl – żadna z nich nie zdawała sobie sprawy z tego, że jej dane są w ten sposób udostępniane.

Sprawdziliśmy, że w procesie rejestracji konta informacja o tym nie była podawana w wyraźny sposób użytkownikowi. Odpowiednie zapisy – choć dalekie od doskonałych – znajdowały się w regulaminie świadczenia usług. Jego drugi paragraf, punkt 20 mówił:

Udostępnienie tych danych (numer telefonu, preferowany paczkomat – przyp. red.) odbywa się podczas procesu nadawania paczki, po prawidłowym wpisaniu adresu e-mail użytkownika i opłaceniu przesyłki.

Zapis ten nie był zgodny ze stanem faktycznym – dane były udostępniane bez potrzeby opłacania przesyłki. Aktualna wersja regulaminu obowiązująca od końca grudnia 2014 zawiera obecnie identyczny zapis w paragrafie 2, punkcie 7, lecz funkcja wyszukiwania po adresie poczty elektronicznej została usunięta z interfejsu użytkownika. Cieszymy się, że problem został szybko i sprawnie rozwiązany.