W dzisiejszym odcinku Wpadki Tygodnia nie będzie fajerwerków ani Facebooka. Będzie za to niespodziewany błąd logiki biznesowej i przykład beznadziejnej konfiguracji zabezpieczeń. W szranki stanęły dzisiaj dwie amerykańskie firmy, obie w pełni zasłużenie.
Serwis Kayak.com to jedna z największych światowych wyszukiwarek i porównywarek cen połączeń lotniczych i usług towarzyszących. Za jej pomocą setki tysięcy internautów odnajdują i zamawiają bilety lotnicze. Użytkownicy mogą także między innymi przeglądać historię swoich zakupów oraz plany przyszłych podróży.
Powody przyznania nagrody
Jak przypadkowo odkrył pewien Kanadyjczyk, serwis umożliwiał wyszukiwanie szczegółów podróży w oparciu o nazwisko pasażera i cztery ostatnie cyfry numeru jego karty kredytowej. Przeglądając swoje rezerwacje, zobaczył również dane innych osób o tym samym nazwisku, co jego. Okazało się, że karty kredytowe American Express dość często mają numery kończące się na 1001 lub 1009. Wystarczyło tylko podać w miarę popularne nazwisko i już można było przeglądać dane innych klientów, w tym ich adresy zamieszkania, numery telefonów, adresy email i plany podróży. Nie był to błąd aplikacji – po prostu jej autorzy myśleli, że to dobry pomysł, by ułatwić życie klientom. Okazało się jednak, że łatwo przekroczyć granicę między ułatwianiem życia klientów a ujawnianiem ich danych. Serwis Kayak.com otrzymuje za to odkrycie tytuł Wpadki Tygodnia.
Konkurencja
W tym tygodniu drugim kandydatem do tytułu była firma Time Warner, jeden z największych dostawców usług internetowych w USA. Jak odkrył jeden z blogerów, firma ta w oferowanych routerach bezprzewodowych marki SMC Networks stosuje zaskakujące ustawienia bezpieczeństwa. Gdyby chodziło tylko o domyśle ustawienie szyfrowania WEP, to pokiwalibyśmy głową z uśmiechem politowania i skomentowali, że w USA obowiązują ciągle inne standardy. Ta firma poszła jednak dalej w dziedzinie obniżania poziomu bezpieczeństwa, konfigurując w pełni przewidywalne klucze dostępowe. 128-bitowy klucz dostępu do routera jest konstruowany z pierwszych 10 znaków MAC adresu routera (przesyłanego w widoczny sposób), dwóch ostatnich znaków identyfikatora sieci (przesyłanego w widoczny sposób) oraz 14 zer. Zamiast więc łamać hasło sieci WEP, można je odtworzyć z długopisem w ręku w oparciu o kilka przechwyconych pakietów. Co znamienne, firma stosuje taką konfigurację bez żadnych zmian od wielu lat.
Komentarz