Załatano luki w Sympatia.pl i Sublokator.pl
Krzysztof Gontarek 02-02-2007, 13:43
Kilka dni temu na jednym z blogów pojawiła się informacja na temat poważnych dziur w bezpieczeństwie serwisu Sympatia.pl. Wykryte przez Szymona Szczepanika luki umożliwiały dostęp do każdego wybranego konta użytkownika bez jego wiedzy. Na kradzież danych narażonych było ponad 2 miliony zarejestrowanych użytkowników serwisu Sympatia.pl
reklama
Szymon Szczepaniak opisał swoje odkrycie 30 stycznia br. Na blogu wyjaśnia, że serwis Sympatia.pl był podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery).
Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.
W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.
Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.
Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:
Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.
Ataki te umożliwiały nieautoryzowany dostęp do kont użytkowników, w tym podgląd i edycję poufnych danych. Było to możliwe dzięki wartości ukrytej pod nazwą SYMPID03. Wartość ta odpowiada identyfikatorowi sesji, który umożliwia serwisowi Sympatia rozpoznanie zalogowanego użytkownika.
W regulaminie Sympatii (paragraf 3 pkt 6b) znajduje się punkt informujący użytkowników, że przekazanie lub udostępnienie innej osobie, widocznego adresu strony internetowej zawierającego w jego pisowni słowa "SYMPID", pozwoli jej na korzystanie z serwisu tak, jak użytkownik udostępniający taki adres.
Jednakże odkryty przez Szymona błąd umożliwiał pozyskanie tej wartości bez wiedzy użytkownika serwisu Sympatia.pl, a jedynie przy jego nieświadomej pomocy atakującemu. Atakowana osoba musiała też być zalogowana w serwisie.
Przed opublikowaniem tekstu Szymon Szczepaniak powiadomił serwis Sympatia.pl, którego właścicielem jest portal Onet.pl, o wykrytych błędach. Wczoraj otrzymaliśmy informację od Piotra Krawca, rzecznika portalu, że natychmiast po otrzymaniu zawiadomienia zajęto się tą sprawą i luki zostały załatane. Dziś portal rozesłał jeszcze oficjalny komunikat w tej sprawie:
We wtorek 30 stycznia 2007 użytkownik serwisu Sympatia.pl wykrył potencjalną lukę w zabezpieczeniach wortalu.
Niezwłocznie po otrzymaniu zgłoszenia, przesłanego do właściciela serwisu 31 stycznia 2007, zostały wprowadzone odpowiednie zabezpieczenia, a sam wortal przeszedł procedurę wewnętrznego audytu bezpieczeństwa. Badanie wykazało, że zarówno konta użytkowników, jak i ich dane przechowywane w systemie są bezpieczne. Dzięki zgłoszeniu Internauty wykryta luka nie została w praktyce wykorzystana.Cieszy szybkość reakcji portalu na zgłoszenie, podobnie jak w przypadku serwisu Sublokator.pl, o którym pisaliśmy dwa dni temu. W tym przypadku reakcja na informację o lukach nastąpiła dopiero po publikacji na łamach DI. Jednak administratorzy serwisu jeszcze tego samego dnia przystąpili do działania i wczoraj rano otrzymaliśmy wiadomość, że opisywana przez nas luka w zabezpieczeniach tego serwisu została wyeliminowana, co zostało przez nas potwierdzone.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Partnerzy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.