Hlavní navigace

ITS Billa Travel o svých zákaznících prozrazuje na webu až příliš [DOPLNĚNO]

Daniel Dočekal 17. 6. 2016

Je to klasická bezpečnostní chyba, kde se autor webu spoléhá na to, že nikdo nepoužije veřejně dostupnou URL. A hlavně, že nikdo nebude měnit parametr.

Pokud si koupíte zájezd, asi nepředpokládáte, že se kdokoliv může dozvědět vaše jméno, příjmení, e-mailovou adresu, částku k zaplacení a stav vaší platby. Přitom u ITS Billa Travel stačí málo, vzít adresuwww.itsbilla.cz/platba?idOrder= a pouze měnit číselný parametr. Tím je, samozřejmě, číslo objednávky. Můžete je tak postupně procházet všechny.

Některá čísla vám sice vrátí Server Error, ale to je dáno tím, že ne všechna čísla jsou spárována s platnou objednávkou. U některých čísel zjistíte, že už dotyční mají dovolenou zaplacenou, případně kolik zbývá doplatit. A poměrně jasně související otázkou zůstává to, jestli si u idOrder nemůžete pohrát ještě s trochou SQL injection.

Tahle „služba zákazníkům“ je ostatně dostupná přes formulář na www.itsbilla.cz/online-platba – právě tam můžete do okénka vložit číslo objednávky a otevře vám výše uvedenou stránku. Ta by byla poměrně bezproblémová, pokud by nezobrazovala jméno, příjmení a e-mail. Ani volně dostupné informace o tom, jestli je nějaká objednávka zaplacená, nejsou zcela bez možných následků.

Jak už to tak navíc bývá, i vyhledávací políčko má klasicky neošetřený stav. Cokoliv do něj vložíte, ochotně vloží do kódu výsledné stránky v původní podobě. Takže pokud by si někdo chtěl pohrát s XSS či phishingem, moc práce by mu to nedalo.

Upozornění na chybu zůstalo bez odezvy jak u ITS BILLA TRAVEL, tak u společnosti a-net.cz, která je tvůrcem webové aplikace. Na chybu byly obě společnosti opakovaně upozorněny i dalšími lidmi, rovněž bez odezvy.

DODATEK: Odpověď ITS Billa dorazila po dvou dnech od oslovení a je svého druhu typická. Tvrdí, že šlo o „neoprávněné přihlášení“ (nikoliv, volně dostupné údaje bez přihlášení) a e-mail, jméno, příjmení, částku za zájezd i zaplacenou částku nepovažuje za osobní údaje. Jak již víme z let dřívějších, už samotná kombinace jména, příjmení a e-mailu je osobním údajem. 

Dobrý den,
k níže uvedenému Vám sděluji, že informace, které byly po neoprávněném přihlášení do systému dočasně dostupné, nebyly svou povahou osobními údaji. Nicméně naše společnost již přijala opatření, aby k takovým případům již v budoucnu nedocházelo. 

S poděkováním a pozdravem
Tatiana Poláková
*******************************
General Manager

Našli jste v článku chybu?

17. 6. 2016 13:14

Lukáš (neregistrovaný)

Ale proč na to proboha potřebovali takovouhle "reklamu", aby se začalo něco dít . . .

17. 6. 2016 14:58

Ondra123 (neregistrovaný)

Stejný problém je i u PPL schválně si někdy zkuste u sledování zásilky změnit č. zásilky v URL, konkrétně na pplbalik.cz.

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu