Αποκλειστικό: Ευπάθεια στο Public.gr θέτει σε κίνδυνο λογαριασμούς χρηστών

[alert variation=”alert-info”] Ένας αναγνώστης του iGuRu.gr επικοινώνησε μαζί μας και μας απέστειλε ένα ολοκληρωμένο PoC (Proof of Concept) εκμετάλλευσης ευπάθειας στο Public.gr. Η ευπάθεια επιτρέπει κλοπή προσωπικών δεδομένων.[/alert]

H κλοπή προσωπικών δεδομένων σε site αυτού του είδους θεωρούμε ότι είναι κάτι το οποίο δεν θα πρέπει να περάσει απαρατήρητο από τους διαχειριστές της διαδικτυακής αγοράς.

Το iGuRu.gr επικοινώνησε με το Ρublic.gr και αναμένει την απάντηση των διαχειριστών ή της τεχνικής υπηρεσίας. Μέχρι τη στιγμή της συγγραφής αυτού του άρθρου η τεχνική ομάδα του Ρublic δεν έχει επικοινωνήσει μαζί μας.

Ο φίλος ερευνητής Taso_X, διαχειριστής του blog pentestlibrary.blogspot.gr αναφέρει:
Πρόσφατα βρήκα μία αδυναμία στο www.ρublic.gr που σίγουρα επηρεάζει πολλά μεγάλα ελληνικά site's που μας υπόσχονται ασφάλεια στις αγορές μας και άλλα πολλά.
Πραγματικά ο σκοπός μου είναι καλοπροαίρετος και δεν ήξερα με ποιους να επικοινωνήσω στο ρublic και πολύ πιθανό να μην μου έδιναν και ιδιαίτερη σημασία.
Δεν έχω μεταβάλλει τα δεδομένα τους.Είναι μία παθητική και αφορά τους χρήστες στην αδυναμία τους server να διαχειριστεί σωστά (edited) μια διεργασία.
Στο μήνυμα του ακολουθεί το πλήρες PoC που είναι στη διάθεση του iGuRu.gr αλλά δεν θα το δημοσιεύσουμε καθώς υπάρχει κίνδυνος παραβίασης λογαριασμών μελών του Public.gr.
Οι λεπτομέρειες της επίθεσης θα είναι διαθέσιμες μόνο για τους Web Developers της εταιρείας.
public
Δείτε τι γράφουν στο public.gr για την των δεδομένων σας.

 http://www.public.gr/prostasia-prosopikon-dedomenon

Σύμφωνα με το Ρublic δεν θα πρέπει να φοβάστε τίποτα.

Εύκολες και Ασφαλείς συναλλαγές

Μπορείς να πληρώσεις την παραγγελία σου είτε με δωρεάν αντικαταβολή όταν την παραλάβεις ή με τη χρήση πιστωτικής/ χρεωστικής κάρτας μέσα από ασφαλείς διαδικασίες 

Φυσικά τα παραπάνω δεν ισχύουν καθώς ο ερευνητής κατάφερε να αποκτήσει σε έναν δοκιμαστικό (δικό του) λογαριασμό. Θα πρέπει να αναφέρουμε και να υπογραμμίσουμε το αυτονόητο: ευπάθειες τέτοιου είδους θα πρέπει να αντιμετωπίζονται άμεσα από τους διαχειριστές ιστοσελίδων ειδικά αν αποθηκεύουν προσωπικά δεδομένα χρηστών στους τους.
Θεωρώντας ότι η διαδικτυακή ασφάλεια είναι ευθύνη όλων μας, αναγνωρίζοντας το επείγον και το σημαντικό αυτής της περίπτωσης που δείχνει να είναι υψίστης προτεραιότητας, δημοσιεύουμε αυτό το άρθρο, ελπίζοντας στην άμεση ανταπόκριση των ενδιαφερομένων.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.081 εγγεγραμμένους.

alertblogspothttppublicserver

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).