Dawno nie wrzucałem odkryć ze świata #programowanie #security , a mam w rękawie jednego dużego odzieżowego giganta z polski LPP (Reserved, Cropp itp.).
LPP posiada kilka sklepów pod różnymi adresami w zależności od marki. Różnią się kilkoma detalami, ale ogólnie „stoją” na tym samym oprogramowaniu. #reserved #cropp
Skupiając się głównie na RESERVED mogliśmy znaleźć taki URL :
Zmienna orderid jest identyfikatorem w formie rosnącej (z analizy wynika, że zwiększa się o 2).
Przykładowe order_id :
XX340633 XX350633 XX350635 XX350835
Tutaj można było zauważyć, że to klienci z całego świata po imieniu, nazwisku i adresie e-mail.
Dane jakie można było pozyskać dla zamówień to :
Widoczne na stronie : - Email - Numer zamówienia - Forma płatności - Status zamówienia
Widoczne po sprawdzeniu źródła strony : - Kwota zamówienia - Koszt wysyłki - Wykorzystany kupon rabatowy - Informacje o zakupionych produktach (nazwa, kwota, ilość)
Powyższe dane były widoczne w kodzie źródłowym ponieważ były wysyłane do Google Analitycs (sic!). Tak! Wysyłali do Google Analitycs dane, które mieli bo pewnie tak było łatwiej marketingowi analizować słupki :P
Ze względu na małe różnice względem każdego brandu dane widoczne na stronie (email, numer zamówienia, forma płatności, status) były dostępne tylko w Reserved i Cropp, a widoczne po sprawdzeniu źródła już dla wszystkich.
Skala problemu była tak wielka, że obejmowała wszystkie zamówienia. Wystarczyło iterować się po kolejnych identyfikatorach i pozyskiwać dane zamówień oraz klientów.
Pokazuje to jak niewielką wiedzę odnośnie IT i bezpieczeństwa potrzebują oszuści w celu wyłudzenia danych odnośnie Waszych zakupów i tego co kupujecie w sieci. Dane mogą potem ładnie zostać wykorzystane do wyłudzeń. Sklepy same wystawiają się na strzała :)
Dodatkowo od dłuższego czasu zauważam, że coraz bardziej po macoszemu podchodzi się do kwestii bezpieczeństwa aplikacji. Od poprawnego zabezpieczenia kont klientów po wrażliwe dane w kodzie źródłowym bo #javascript i tak będzie szybciej i łatwiej. Uważajcie co dajecie na froncie!
@lubie-sernik: z tydzień temu albo dwa ( ͡°͜ʖ͡°) Ogólnie nie mogłem się z nimi skontaktować w żaden sposób, żeby im to przekazać. Próbowałem przez Niebezpiecznik i chyba oni przekazali im informację - chociaż ja żadnej zwrotnej nie dostałem. Aktualnie już to nie działa, więc publikuję w ramach ciekawostki.
@lubie-sernik: przy okazji zakupów szukam takich perełek...można powiedzieć, że zboczenie zawodowe. Nie muszą mi płacić. Wystarczy mi satysfakcja znalezienia takiego błędu w tak dużym projekcie.
Ja siedzę ogólnie w e-commerce (Magento) ale jak robię zakupy online to szybko i nawet nie chce mi się na nic patrzeć bo mam już dość zabawy ze sklepami na co dzień xD
@toshibaas: a czy masz jakieś info czy LPP zrobiło jakąś analizę po włamaniową? Błąd trywialny no ale pewnie są w stanie po logach sprawdzić czy osoba która wyświetliła urla była zalogowana na odpowiednie konto xD Tak pytam bo ostatnio chyba w croppie robiłem zakupy online i się zastanawiam czy fotowoltaika będzie do mnie dzwonić ( ͡°͜ʖ͡°)
@Paula_pi: wystarczy teraz odpowiednio duży atak podczas którego podszyjemy się pod sklep i pod pozorem dopłaty 0,5 zł do Twojego zamówienia z dnia xxx, na kwotę yyy, produktu zzz poprosimy Cię o wykonanie szybkiej dopłaty online na stronie . Za przedmiot zapłaciłaś za pomocą metody aaa, więc prosimy o wprowadzenie danych płatności raz jeszcze w celu autoryzacji. Może Ty się nie nabierzesz, ale setki ludzi już tak.
@resuf: @PiersiowkaPelnaZiol: Wystarczy zrobić dokładnie taką kampanię jak opisuje @resuf i jest ogromne prawdopodobieństwo, że będzie to strzał w 10! Jeszcze znając sposób wysyłki i produkty jakie zamówiłaś, a nawet kod rabatowy mega to uwiarygadniasz bo niby jak HAKERZY mieli wiedzieć jaki kod rabatowy wpisałeś/łaś :)
@toshibaas: Pracowalem kiedys w jednej z firm gdzie zlecono nam przygotowanie aplikacji mobilnej dla jednego z tych sklepow i wcale sie nie dziwie : D Ze strony zleceniodawcy januszerka straszna, ze swojej strony jak po latach patrze to pewnie nadal zostalo mase bledow : D
LPP posiada kilka sklepów pod różnymi adresami w zależności od marki. Różnią się kilkoma detalami, ale ogólnie „stoją” na tym samym oprogramowaniu. #reserved #cropp
Skupiając się głównie na RESERVED mogliśmy znaleźć taki URL :
https://www.reserved.com/pl/pl/checkout/order/created/order_id/{orderid}/
Zmienna orderid jest identyfikatorem w formie rosnącej (z analizy wynika, że zwiększa się o 2).
Przykładowe order_id :
XX340633
XX350633
XX350635
XX350835
Tutaj można było zauważyć, że to klienci z całego świata po imieniu, nazwisku i adresie e-mail.
Dane jakie można było pozyskać dla zamówień to :
Widoczne na stronie :
- Email
- Numer zamówienia
- Forma płatności
- Status zamówienia
Widoczne po sprawdzeniu źródła strony :
- Kwota zamówienia
- Koszt wysyłki
- Wykorzystany kupon rabatowy
- Informacje o zakupionych produktach (nazwa, kwota, ilość)
Powyższe dane były widoczne w kodzie źródłowym ponieważ były wysyłane do Google Analitycs (sic!).
Tak! Wysyłali do Google Analitycs dane, które mieli bo pewnie tak było łatwiej marketingowi analizować słupki :P
Ze względu na małe różnice względem każdego brandu dane widoczne na stronie (email, numer zamówienia, forma płatności, status) były dostępne tylko w Reserved i Cropp, a widoczne po sprawdzeniu źródła już dla wszystkich.
Skala problemu była tak wielka, że obejmowała wszystkie zamówienia. Wystarczyło iterować się po kolejnych identyfikatorach i pozyskiwać dane zamówień oraz klientów.
Pokazuje to jak niewielką wiedzę odnośnie IT i bezpieczeństwa potrzebują oszuści w celu wyłudzenia danych odnośnie Waszych zakupów i tego co kupujecie w sieci. Dane mogą potem ładnie zostać wykorzystane do wyłudzeń. Sklepy same wystawiają się na strzała :)
Dodatkowo od dłuższego czasu zauważam, że coraz bardziej po macoszemu podchodzi się do kwestii bezpieczeństwa aplikacji. Od poprawnego zabezpieczenia kont klientów po wrażliwe dane w kodzie źródłowym bo #javascript i tak będzie szybciej i łatwiej. Uważajcie co dajecie na froncie!
A to przypadkiem to ogarnąłeś czy szukasz takich przypadków?
Ja siedzę ogólnie w e-commerce (Magento) ale jak robię zakupy online to szybko i nawet nie chce mi się na nic patrzeć bo mam już dość zabawy ze sklepami na co dzień xD
W stylu dopłacenie do paczki rzekomej itp.
Ludzie aż tak się nie nabierają już ci jest dużym plusem za kampanię