Załatano luki w Sympatia.pl i Sublokator.pl
Krzysztof Gontarek 02-02-2007, 13:43
Kilka dni temu na jednym z blogów pojawiła się informacja na temat poważnych dziur w bezpieczeństwie serwisu Sympatia.pl. Wykryte przez Szymona Szczepanika luki umożliwiały dostęp do każdego wybranego konta użytkownika bez jego wiedzy. Na kradzież danych narażonych było ponad 2 miliony zarejestrowanych użytkowników serwisu Sympatia.pl
Szymon Szczepaniak opisał swoje odkrycie 30 stycznia br. Na blogu wyjaśnia, że serwis Sympatia.pl był podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery).
Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.
W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.
Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.
Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:
Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.
Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.
W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.
Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.
Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:
We wtorek 30 stycznia 2007 użytkownik serwisu Sympatia.pl wykrył potencjalną lukę w zabezpieczeniach wortalu.
Niezwłocznie po otrzymaniu zgłoszenia, przesłanego do właściciela serwisu 31 stycznia 2007, zostały wprowadzone odpowiednie zabezpieczenia, a sam wortal przeszedł procedurę wewnętrznego audytu bezpieczeństwa. Badanie wykazało, że zarówno konta użytkowników, jak i ich dane przechowywane w systemie są bezpieczne. Dzięki zgłoszeniu Internauty wykryta luka nie została w praktyce wykorzystana.Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.