Interia od roku lekceważy dziury w systemie pocztowym

17-01-2007, 11:30

Minął rok, od kiedy Interia została po raz pierwszy poinformowana przez Marka Futregę o lukach w systemie pocztowym portalu. Sprawa do tej pory pozostaje niezałatwiona, podczas gdy konkurencyjne portale potrafiły poradzić sobie z problemem nawet w jeden dzień. Tymczasem błędy w poczcie Interii umożliwiają przeprowadzenie naprawdę niebezpiecznych ataków, łącznie z kradzieżą danych - wszystko zależy tylko od wyobraźni atakującego.

Czas zwiększonych wydatków zbliża się nieubłaganie.

>> Sprawdź konto z kartą otwartą na dzisiaj <<

0 zł za prowadzenie rachunku, użytkowanie karty debetowej i wypłaty gotówki!


Jak pisze na swoim blogu Marek Futrega na stronach poczty elektronicznej portalu Interia znajduje się kilka luk typu XSS. Zagrożeni są użytkownicy kont tego portalu, sprawdzający pocztę przy pomocy przeglądarki Internet Explorer Microsoftu.

Wspomniane luki umożliwiają wykonanie dowolnego kodu JavaScript u użytkownika systemu Interii. Wystarczy by otworzył w przeglądarce IE odpowiednio przygotowany e-mail, dzięki któremu atakujący może m.in. wykraść cookies użytkownika poczty Interii, skasować jego pocztę z serwera, wysłać ją innym osobom, przekierować na dowolną stronę, poprosić o powtórne wprowadzenie hasła celem wykradnięcia itp. - pisze Marek Futrega.

Interia miała sporo czasu na załatanie luk. Pierwsze powiadomienie zostało wysłane 16 stycznia 2006 roku, drugie pół roku później. Co ciekawe - jak informuje Futrega - pracownicy Interii potwierdzili w obydwu przypadkach przyjęcie zgłoszeń i... na tym poprzestali. Nic nie zrobiono nawet po ostrzeżeniu, które Marek Futrega wysłał do Interii dwa tygodnie temu, w którym poinformował, że po 16 stycznia ujawni informacje o lukach w systemie pocztowym tego portalu, bez czekania na ich usunięcie.

Jeszcze ciekawszy może wydawać się fakt, że luki te dotyczyły także systemów pocztowych innych polskich portali oraz polskich firm oferujących konta poczty elektronicznej. Te jednak poważnie podeszły do zgłoszenia i załatały dziury - portal Onet potrzebował na to 1 dnia, pozostałe od kilku dni do kilku tygodni.

Podatność poczty Interii na wspomniane luki można sprawdzić wysyłając e-mail testowy za pomocą formularza przygotowanego przez Marka Futregę. Nastepnie należy wejść na skrzynkę pocztową na Interii przy pomocy przeglądarki Internet Explorer i otworzyć e-mail zatytułowany: xss test v.2006-01-16. Potem już trudno zamknąć przeglądarkę (przynajmniej IE7) w standardowy sposób ;-)

luki w poczcie Interii - przeglądarka Internet Explorer

Testy przeprowadzone przez redakcję DI w przeglądarce Firefox i Opera nie zakończyły się tak dramatycznie, jak w przypadku Internet Explorera.

Szczegóły na blogu Marka Futregi - stek.

Źródło: blog Marka Futregi


Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać


fot. geralt






Tematy pokrewne:  

tag XSStag Marek Futregatag lukitag JavaScript
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
RSS
Copyright © 1998-2021 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.