W przypadku phishingu winę ponosi użytkownik, twierdził za10groszy.pl, zanim załatał zgłoszone luki

Michał Majchrowicz 04-03-2015, 12:50

Przeprowadzając co jakiś czas audyt serwisów internetowych w Polsce i doszukując się poprawy ich bezpieczeństwa, natknąłem się na portal za10groszy.pl. Po wstępnym, 15-minutowym przeglądaniu zawartości serwisu okazało się, że w jego zabezpieczeniach można znaleźć całkiem sporo błędów.

Były to głównie luki XSS (Cross Site-Scripting) w wielu różnych polach formularzy, co wskazuje na brak jakiegokolwiek nadzorowania prac nad kolejnymi wersjami kodu umieszczanymi w serwisie głównym lub informatyków, którym zagadnienie „security” nie jest obce. Funkcjonalność samego portalu nie dość, że pozwalała atakującemu wykonać własny kod JavaScript, to jeszcze umożliwiała sprytne jego ukrycie. Użytkownik, który zostałby przekonany do kliknięcia zainfekowanego linku, nie dostrzegłby żadnych zmian ani na stronie, ani w pasku adresu.

Dodatkowym strzałem w stopę dla serwisu za10groszy.pl jest fakt, że wszystkie błędy były dostępne przy wykorzystaniu „bezpiecznego” połączenia HTTPS, co mogło być dodatkowym sygnałem dla nieświadomych niczego użytkowników, iż wszystko jest w porządku. Przeciętny użytkownik nie jest świadomy, że może paść ofiarą phisingu, nawet jeśli widzi „kłódkę” przy adresie aktualnie oglądanej strony. W przypadku za10groszy.pl niosło to za sobą różne konsekwencje - od pobrania danych osobowych danego użytkownika aż po przechwycenie transakcji dokonywanej w ramach serwisu.

Po wielu latach pracy jako badacz bezpieczeństwa uważam, iż tak górnolotne słowa, jak bezpieczeństwo czy prywatność danych, powinny dla firm oferujących różne usługi stanowić polegający na czymś więcej niż jedynie na wykupieniu certyfikatu SSL. Powinny one oddelegować osoby do zajmowania się kontrolą kodu tworzonego przez informatyków lub wprowadzić inne metody automatycznej analizy chociażby najprostszych elementów na danej stronie, czego w Polsce po prostu się nie stosuje.

Najbardziej dziwi jednak wypowiedź pracownika za10groszy.pl, który - podkreślając istnienie serwisu od ponad 6 lat - uznał, że główną przyczyną padania ofiarą phisingu jest niefrasobliwość użytkowników i to oni mają największy wpływ na zapewnienie sobie bezpieczeństwa. Przekonanie serwisu do załatania wykrytych podatności zajęło łącznie tydzień i wymagało wysłania wielu maili… O ile mogę potwierdzić, iż konkretne zgłoszone przeze mnie luki zostały załatane, to po ich skali można się spodziewać, że w serwisie pozostało jeszcze wiele błędów do wykrycia.

Poniżej zamieszczone są przykładowe zrzuty ekranowe kodu wykonanego w kontekście serwisu za10groszy.pl (można kliknąć, aby powiększyć).

Luka w serwisie za10groszy.pl - 1

Luka w serwisie za10groszy.pl - 2

Michał Majchrowicz


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031