Uwaga na lukę w poczcie Interii!

Ataki typu CSRF to takie, które wymagają aby użytkownik był zalogowany do serwisu internetowego. Dodatkowo jego przeglądarka musi wysłać żądanie operacji, która ostatecznie może mieć niekorzystne skutki uboczne.

Poczta Interii prawdopodobnie cały czas podatna jest na atak tego typu, dzięki czemu osoba niepowołana może przechwycić naszą korespondencję. Atak może nastąpić jeśli użytkownik będąc zalogowanym do poczty otworzy w nowym oknie (lub w nowej zakładce przeglądarki) link do strony ze złośliwym skryptem. Ten link może on otrzymać np. w e-mailu.

Lukę odkrył Sebastian Szałachowski i informacje o niej zamieścił na stronie javascript.net.pl. Informacja trafiła tam 15 kwietnia ale jej autor podaje, że już 1 kwietnia informował Interię o istnieniu luki. Portal nie potraktował tego jako żart primaaprilisowy – 3 kwietnia zapewnił Szałachowskiego, że prace nad załataniem luki trwają.

Wczoraj przedstawicielka Interii Agnieszka Kliber w e-mailu dla Dziennika Internautów potwierdziła istnienie luki dodając, że prace nad jej załataniem trwają nadal.

- Oczywiście z uwagi na bezpieczeństwo i zadowolenie naszych użytkowników zajmujemy się nim w trybie priorytetowym. Zaangażowaliśmy wszystkie zasoby konieczne do tego, by skutecznie i jak najszybciej wyeliminować problem. Niemniej trudno w tej chwili precyzyjnie określić, kiedy sfinalizujemy prace - napisała przedstawicielka portalu.

Trudno powiedzieć, czy prace nad załataniem luki zostały zakończone. Ani Sebastian Szałachowski, ani Interia nie zawiadomili nas o usunięciu usterki. Odkrywca luki wcześniej szacował, że na atak może być podatnych podatnych około 30% użytkowników.

Wszystkim użytkownikom webmaila Interii zalecamy otwieranie wyłącznie linków z zaufanych źródeł i prowadzących do zaufanych stron.

AKTUALIZACJA

Odkrywca luki Sebastian Szałachowski poinformował nas, że została ona załatana.