Logując się na skrzynkę pocztową w Interii przez przeglądarkę (tzw. webmail) możemy być narażeni na atak CSRF pozwalający na przechwycenie listów znajdujących się w skrzynce. Informacja o luce znajduje się w Sieci już kilka dni.
Ataki typu CSRF to takie, które wymagają aby użytkownik był zalogowany do serwisu internetowego. Dodatkowo jego przeglądarka musi wysłać żądanie operacji, która ostatecznie może mieć niekorzystne skutki uboczne.
Poczta Interii prawdopodobnie cały czas podatna jest na atak tego typu, dzięki czemu osoba niepowołana może przechwycić naszą korespondencję. Atak może nastąpić jeśli użytkownik będąc zalogowanym do poczty otworzy w nowym oknie (lub w nowej zakładce przeglądarki) link do strony ze złośliwym skryptem. Ten link może on otrzymać np. w e-mailu.
Lukę odkrył Sebastian Szałachowski i informacje o niej zamieścił na stronie javascript.net.pl. Informacja trafiła tam 15 kwietnia ale jej autor podaje, że już 1 kwietnia informował Interię o istnieniu luki. Portal nie potraktował tego jako żart primaaprilisowy – 3 kwietnia zapewnił Szałachowskiego, że prace nad załataniem luki trwają.
Wczoraj przedstawicielka Interii Agnieszka Kliber w e-mailu dla Dziennika Internautów potwierdziła istnienie luki dodając, że prace nad jej załataniem trwają nadal.
- Oczywiście z uwagi na bezpieczeństwo i zadowolenie naszych użytkowników zajmujemy się nim w trybie priorytetowym. Zaangażowaliśmy wszystkie zasoby konieczne do tego, by skutecznie i jak najszybciej wyeliminować problem. Niemniej trudno w tej chwili precyzyjnie określić, kiedy sfinalizujemy prace - napisała przedstawicielka portalu.
Trudno powiedzieć, czy prace nad załataniem luki zostały zakończone. Ani Sebastian Szałachowski, ani Interia nie zawiadomili nas o usunięciu usterki. Odkrywca luki wcześniej szacował, że na atak może być podatnych podatnych około 30% użytkowników.
Wszystkim użytkownikom webmaila Interii zalecamy otwieranie wyłącznie linków z zaufanych źródeł i prowadzących do zaufanych stron.
AKTUALIZACJA
Odkrywca luki Sebastian Szałachowski poinformował nas, że została ona załatana.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*