Kilka dni temu na jednym z blogów pojawiła się informacja na temat poważnych dziur w bezpieczeństwie serwisu Sympatia.pl. Wykryte przez Szymona Szczepanika luki umożliwiały dostęp do każdego wybranego konta użytkownika bez jego wiedzy. Na kradzież danych narażonych było ponad 2 miliony zarejestrowanych użytkowników serwisu Sympatia.pl
Szymon Szczepaniak opisał swoje odkrycie 30 stycznia br. Na blogu wyjaśnia, że serwis Sympatia.pl był podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery).
Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.
W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.
Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.
Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:
We wtorek 30 stycznia 2007 użytkownik serwisu Sympatia.pl wykrył potencjalną lukę w zabezpieczeniach wortalu.
Niezwłocznie po otrzymaniu zgłoszenia, przesłanego do właściciela serwisu 31 stycznia 2007, zostały wprowadzone odpowiednie zabezpieczenia, a sam wortal przeszedł procedurę wewnętrznego audytu bezpieczeństwa. Badanie wykazało, że zarówno konta użytkowników, jak i ich dane przechowywane w systemie są bezpieczne. Dzięki zgłoszeniu Internauty wykryta luka nie została w praktyce wykorzystana.
Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Gdy posiadasz prywatny samochód, komputer czy inny sprzęt i chcesz wykorzystać go na potrzeby działalności gospodarczej, wprowadzając do ewidencji środków trwałych firmy, musisz ustalić wartość początkową, od której rozpoczniesz amortyzację danego składnika. Jest nią cena nabycia, a gdy nie możesz jej ustalić, dokonaj wyceny, uwzględniając ceny rynkowe. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
kradzież danych
Zobacz wszystkie (3)
Pobieranie danych...