Hlavní navigace

ITS Billa Travel o svých zákaznících prozrazuje na webu až příliš [DOPLNĚNO]

Daniel Dočekal

Je to klasická bezpečnostní chyba, kde se autor webu spoléhá na to, že nikdo nepoužije veřejně dostupnou URL. A hlavně, že nikdo nebude měnit parametr.

Pokud si koupíte zájezd, asi nepředpokládáte, že se kdokoliv může dozvědět vaše jméno, příjmení, e-mailovou adresu, částku k zaplacení a stav vaší platby. Přitom u ITS Billa Travel stačí málo, vzít adresuwww.itsbilla.cz/platba?idOrder= a pouze měnit číselný parametr. Tím je, samozřejmě, číslo objednávky. Můžete je tak postupně procházet všechny.

Některá čísla vám sice vrátí Server Error, ale to je dáno tím, že ne všechna čísla jsou spárována s platnou objednávkou. U některých čísel zjistíte, že už dotyční mají dovolenou zaplacenou, případně kolik zbývá doplatit. A poměrně jasně související otázkou zůstává to, jestli si u idOrder nemůžete pohrát ještě s trochou SQL injection.

Tahle „služba zákazníkům“ je ostatně dostupná přes formulář na www.itsbilla.cz/online-platba – právě tam můžete do okénka vložit číslo objednávky a otevře vám výše uvedenou stránku. Ta by byla poměrně bezproblémová, pokud by nezobrazovala jméno, příjmení a e-mail. Ani volně dostupné informace o tom, jestli je nějaká objednávka zaplacená, nejsou zcela bez možných následků.

Jak už to tak navíc bývá, i vyhledávací políčko má klasicky neošetřený stav. Cokoliv do něj vložíte, ochotně vloží do kódu výsledné stránky v původní podobě. Takže pokud by si někdo chtěl pohrát s XSS či phishingem, moc práce by mu to nedalo.

Upozornění na chybu zůstalo bez odezvy jak u ITS BILLA TRAVEL, tak u společnosti a-net.cz, která je tvůrcem webové aplikace. Na chybu byly obě společnosti opakovaně upozorněny i dalšími lidmi, rovněž bez odezvy.

DODATEK: Odpověď ITS Billa dorazila po dvou dnech od oslovení a je svého druhu typická. Tvrdí, že šlo o „neoprávněné přihlášení“ (nikoliv, volně dostupné údaje bez přihlášení) a e-mail, jméno, příjmení, částku za zájezd i zaplacenou částku nepovažuje za osobní údaje. Jak již víme z let dřívějších, už samotná kombinace jména, příjmení a e-mailu je osobním údajem. 

WT100

Dobrý den,
k níže uvedenému Vám sděluji, že informace, které byly po neoprávněném přihlášení do systému dočasně dostupné, nebyly svou povahou osobními údaji. Nicméně naše společnost již přijala opatření, aby k takovým případům již v budoucnu nedocházelo. 

S poděkováním a pozdravem
Tatiana Poláková
*******************************
General Manager

Našli jste v článku chybu?