24.06.2012 | 22:10

Adam Haertle

Wpadka tygodnia – odcinek 22

W dzisiejszym odcinku Wpadki Tygodnia nie będzie fajerwerków ani Facebooka. Będzie za to niespodziewany błąd logiki biznesowej i przykład beznadziejnej konfiguracji zabezpieczeń. W szranki stanęły dzisiaj dwie amerykańskie firmy, obie w pełni zasłużenie.

Serwis Kayak.com to jedna z największych światowych wyszukiwarek i porównywarek cen połączeń lotniczych i usług towarzyszących. Za jej pomocą setki tysięcy internautów odnajdują i zamawiają bilety lotnicze. Użytkownicy mogą także między innymi przeglądać historię swoich zakupów oraz plany przyszłych podróży.

Powody przyznania nagrody

Jak przypadkowo odkrył pewien Kanadyjczyk, serwis umożliwiał wyszukiwanie szczegółów podróży w oparciu o nazwisko pasażera i cztery ostatnie cyfry numeru jego karty kredytowej. Przeglądając swoje rezerwacje, zobaczył również dane innych osób o tym samym nazwisku, co jego. Okazało się, że karty kredytowe American Express dość często mają numery kończące się na 1001 lub 1009. Wystarczyło tylko podać w miarę popularne nazwisko i już można było przeglądać dane innych klientów, w tym ich adresy zamieszkania, numery telefonów, adresy email i plany podróży. Nie był to błąd aplikacji – po prostu jej autorzy myśleli, że to dobry pomysł, by ułatwić życie klientom. Okazało się jednak, że łatwo przekroczyć granicę między ułatwianiem życia klientów a ujawnianiem ich danych. Serwis Kayak.com otrzymuje za to odkrycie tytuł Wpadki Tygodnia.

Konkurencja

W tym tygodniu drugim kandydatem do tytułu była firma Time Warner, jeden z największych dostawców usług internetowych w USA. Jak odkrył jeden z blogerów, firma ta w oferowanych routerach bezprzewodowych marki SMC Networks stosuje zaskakujące ustawienia bezpieczeństwa. Gdyby chodziło tylko o domyśle ustawienie szyfrowania WEP, to pokiwalibyśmy głową z uśmiechem politowania i skomentowali, że w USA obowiązują ciągle inne standardy. Ta firma poszła jednak dalej w dziedzinie obniżania poziomu bezpieczeństwa, konfigurując w pełni przewidywalne klucze dostępowe. 128-bitowy klucz dostępu do routera jest konstruowany z pierwszych 10 znaków MAC adresu routera (przesyłanego w widoczny sposób), dwóch ostatnich znaków identyfikatora sieci (przesyłanego w widoczny sposób) oraz 14 zer. Zamiast więc łamać hasło sieci WEP, można je odtworzyć z długopisem w ręku w oparciu o kilka przechwyconych pakietów. Co znamienne, firma stosuje taką konfigurację bez żadnych zmian od wielu lat.

Powrót

Komentarz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wpadka tygodnia – odcinek 22

Komentarze