Hlavní navigace

ITS Billa Travel o svých zákaznících prozrazuje na webu až příliš [DOPLNĚNO]

Daniel Dočekal 17. 6. 2016

Je to klasická bezpečnostní chyba, kde se autor webu spoléhá na to, že nikdo nepoužije veřejně dostupnou URL. A hlavně, že nikdo nebude měnit parametr.

Pokud si koupíte zájezd, asi nepředpokládáte, že se kdokoliv může dozvědět vaše jméno, příjmení, e-mailovou adresu, částku k zaplacení a stav vaší platby. Přitom u ITS Billa Travel stačí málo, vzít adresuwww.itsbilla.cz/platba?idOrder= a pouze měnit číselný parametr. Tím je, samozřejmě, číslo objednávky. Můžete je tak postupně procházet všechny.

Některá čísla vám sice vrátí Server Error, ale to je dáno tím, že ne všechna čísla jsou spárována s platnou objednávkou. U některých čísel zjistíte, že už dotyční mají dovolenou zaplacenou, případně kolik zbývá doplatit. A poměrně jasně související otázkou zůstává to, jestli si u idOrder nemůžete pohrát ještě s trochou SQL injection.

Tahle „služba zákazníkům“ je ostatně dostupná přes formulář na www.itsbilla.cz/online-platba – právě tam můžete do okénka vložit číslo objednávky a otevře vám výše uvedenou stránku. Ta by byla poměrně bezproblémová, pokud by nezobrazovala jméno, příjmení a e-mail. Ani volně dostupné informace o tom, jestli je nějaká objednávka zaplacená, nejsou zcela bez možných následků.

Jak už to tak navíc bývá, i vyhledávací políčko má klasicky neošetřený stav. Cokoliv do něj vložíte, ochotně vloží do kódu výsledné stránky v původní podobě. Takže pokud by si někdo chtěl pohrát s XSS či phishingem, moc práce by mu to nedalo.

Upozornění na chybu zůstalo bez odezvy jak u ITS BILLA TRAVEL, tak u společnosti a-net.cz, která je tvůrcem webové aplikace. Na chybu byly obě společnosti opakovaně upozorněny i dalšími lidmi, rovněž bez odezvy.

DODATEK: Odpověď ITS Billa dorazila po dvou dnech od oslovení a je svého druhu typická. Tvrdí, že šlo o „neoprávněné přihlášení“ (nikoliv, volně dostupné údaje bez přihlášení) a e-mail, jméno, příjmení, částku za zájezd i zaplacenou částku nepovažuje za osobní údaje. Jak již víme z let dřívějších, už samotná kombinace jména, příjmení a e-mailu je osobním údajem. 

CIF16

Dobrý den,
k níže uvedenému Vám sděluji, že informace, které byly po neoprávněném přihlášení do systému dočasně dostupné, nebyly svou povahou osobními údaji. Nicméně naše společnost již přijala opatření, aby k takovým případům již v budoucnu nedocházelo. 

S poděkováním a pozdravem
Tatiana Poláková
*******************************
General Manager

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků