Trywialny błąd w OLX umożliwiał każdemu pobieranie cudzych faktur

dodał 10 września 2017 o 19:00 w kategorii Info  z tagami:
Trywialny błąd w OLX umożliwiał każdemu pobieranie cudzych faktur

Czasami widząc niektóre błędy w popularnych serwisach łapiemy się za głowę i sprawdzamy, czy na pewno mamy już rok 2017 i wyedukowanych programistów. Niestety najwyraźniej tak w tym przypadku nie było.

Jeden z naszych Czytelników (dzięki Witek!) zauważył w serwisie OLX błąd tak trywialny, że aż przez chwilę nie wierzyliśmy, że prawdziwy. Niestety nasza weryfikacja wykazała, że faktycznie każdy zarejestrowany użytkownik OLX mógł bez żadnego wysiłku pobierać wiele faktur innych klientów.

Błąd z programistycznego przedszkola

Zarejestrowany klient OLX może wejść do zakładki „płatności”, gdzie znaleźć powinien swoje faktury (o ile takie otrzymał). Link umożliwiający pobranie faktury wygląda tak:

Domyślacie się już na czym polegał problem? Tak, naprawdę. Wystarczyło podmienić ID faktury, by zobaczyć inną. Na 5 losowo wybranych innych ID trafiliśmy wszystkie 5… Poniżej dwa przykłady dokumentów, które mogliśmy pobrać.

Dobre i złe wiadomości

Dla większości użytkowników OLX dobrą wiadomością jest to, ze jeżeli nie dostali nigdy żadnej faktury (nie płacili za usługi) to ich dane w tym incydencie nie mogły zostać ujawnione. Dobrą wiadomością jest także to, że – o ile byliśmy w stanie sprawdzić – w dokumentach, które mogły zostać ujawnione, znajdowały się jedynie dane korespondencyjne klientów OLX, a nie było np. adresów email. To zdecydowanie zmniejsza prawdopodobieństwo wycelowanych ataków np. phishingowych w oparciu o wykradzione informacje.

Aktualizacja 2017-09-10 19:30
Jak słusznie zauważył jeden z Czytelników, na fakturze zamieszczony jest numer ogłoszenia, a w jego treści często można znaleźć numer telefonu lub inne dane kontaktowe do oferenta, zatem istniała możliwość uzupełnienia danych.

Drugą dobrą wiadomością jest czas reakcji serwisu. Po próbie znalezienia bezpośredniego namiaru w gronie znajomych o 14:20 poprosiliśmy o pomoc na Facebooku. Po 43 minutach, mimo niedzieli, odezwał się do nas jeden z administratorów. O 15:11 przesłaliśmy szczegóły problemu, a o 15:55 problem był już tymczasowo rozwiązany przez blokadę feralnego adresu. Takiego czasu reakcji niejedna firma może OLX pozazdrościć.

Złą wiadomością jest niestety sam fakt wystąpienia tak trywialnej podatności. Iterowanie numeru pobieranego pliku to jeden z podstawowych testów, który prawie każdy miłośnik bezpieczeństwa przeprowadza okazjonalnie w odwiedzanych serwisach. Jest więc całkiem prawdopodobne, że błąd mógł zostać już przez kogoś odkryty. Mamy nadzieję, że więcej na ten temat będziemy mogli się dowiedzieć w przyszłości. Tymczasem równie ekspresowo co zablokowanie możliwości odczytywania obcych faktur zareagował dział PR, który odpowiedział na nasze pytania:

1. Od kiedy błąd istniał w serwisie.

Błąd mógł być w systemie od jakiegoś czasu, ale dopiero dzięki zgłoszeniu od redakcji dowiedzieliśmy się o nim. Bezpieczeństwo danych użytkowników traktujemy priorytetowo i natychmiast zablokowaliśmy możliwość korzystania z tej funkcji.

2. W jaki sposób został wprowadzony.

Podejrzewamy, że błąd mógł się pojawić podczas wprowadzania zmian w systemie odpowiedzialnym za wystawianie faktur  w naszym serwisie.

3. Czy były obserwowane próby jego wykorzystania.
Jest jeszcze za wcześnie by móc ustalić, czy były próby wykorzystania tego błędu. W ciągu najbliższych dni będziemy to sprawdzać. Obecnie pracujemy nad tym, by jak najszybciej przywrócić funkcję pobierania faktur naszym użytkownikom.

Bug bounty bez bounty nie pomogło

Co ciekawe OLX jest jedną z niewielu polskich firm, które posiadają program bug bounty. Co prawda zawiera on bardzo wiele wykluczeń i ograniczeń, ale jest. Jego największym ograniczeniem jest jednak brak jakichkolwiek nagród dla zgłaszających błędy – czyli takie bug bounty bez bounty. Co prawda w tym wypadku brak nagrody nie był przyczyną tego, że raport trafił właśnie do nas, ale może warto rozważyć dalszy rozwój projektu i świecić przykładem na polskim rynku.

Choć błąd w aplikacji był trywialny, to jednak ktoś go popełnił, ktoś przetestował i ktoś wdrożył. Jeśli chcecie, by Wasz zespół takiej wpadki uniknął, to wyślijcie ich na nasze szkolenie z bezpieczeństwa aplikacji WWW – już w październiku i w listopadzie w Warszawie.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 10 – 12 października 2017

Warsaw-center-free-license-CC0
Warszawa, 27 – 29 listopada 2017

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia