Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Kilka dni temu na jednym z blogów pojawiła się informacja na temat poważnych dziur w bezpieczeństwie serwisu Sympatia.pl. Wykryte przez Szymona Szczepanika luki umożliwiały dostęp do każdego wybranego konta użytkownika bez jego wiedzy. Na kradzież danych narażonych było ponad 2 miliony zarejestrowanych użytkowników serwisu Sympatia.pl

Szymon Szczepaniak opisał swoje odkrycie 30 stycznia br. Na blogu wyjaśnia, że serwis Sympatia.pl był podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery).

Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.

W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.

Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.

Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:

We wtorek 30 stycznia 2007 użytkownik serwisu Sympatia.pl wykrył potencjalną lukę w zabezpieczeniach wortalu.
Niezwłocznie po otrzymaniu zgłoszenia, przesłanego do właściciela serwisu 31 stycznia 2007, zostały wprowadzone odpowiednie zabezpieczenia, a sam wortal przeszedł procedurę wewnętrznego audytu bezpieczeństwa. Badanie wykazało, że zarówno konta użytkowników, jak i ich dane przechowywane w systemie są bezpieczne. Dzięki zgłoszeniu Internauty wykryta luka nie została w praktyce wykorzystana.


Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.

Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *