Ogromna wpadka morele.net. Można było pobrać dane klientów
Jeden z największych w Polsce sklepów internetowych z elektroniką — morele.net — zaliczył ogromną wpadkę. Dane wszystkich klientów były dostępne do pobrania.
O sprawie pisze serwis Zaufana Trzecia Strona. Okazuje się, że morele.net najwyraźniej nie wyciągnęło wniosków z ogromnego wycieku danych w 2018 roku, który do tej pory jest jednym z największych w historii polskiego internetu. Sklep znowu po macoszemu podszedł do kwestii bezpieczeństwa. Dane klientów były dostępne do pobrania.
Wpadka morele.net
Jeden z czytelników serwisu zauważył bardzo niepokojący błąd na stronie morele.net. Mężczyzna kryjący się pod pseudonimem Norsu składał wniosek ratalny. Ten jednak miał błędy, więc użytkownik zaczął mu się przyglądać. Szybko odkrył, jak można zdobyć dane innych klientów sklepu.
Wnioski ratalne w sklepie morele.net znajdowały się pod adresem: "https://morele.net/raty/[ID ZAMÓWIENIA]". Wystarczyło mieć zalogowaną sesję na dowolnym koncie, a następnie podmienić ID zamówienia, aby zdobyć dane klientów sklepu. Dotyczyło to także osób, które wniosek ratalny składały bardzo dawno i już zdążyły wszystkie swoje zobowiązania uregulować.
Wśród danych znajdywało się między innymi: adres e-mail, numer telefonu oraz kwota zamówienia. Zaufana Trzecia Strona szybko skontaktowała się ze sklepem. Ten w odpowiedzi przesłał oświadczenie:
Po otrzymaniu zgłoszenia o podatności formularza ratalnego, nasze zespoły Security i IT zareagowały natychmiastowo i niezwłocznie zweryfikowały zgłoszoną sytuację. Podatność została potwierdzona i usunięta w ciągu 2 godzin od jej zgłoszenia. Przeprowadzona analiza wykazała, że ewentualne wykorzystanie podatności było ograniczone i wymagało jednoczesnego spełnienia kilku warunków – posiadania konta użytkownika, zalogowania się do systemu oraz wpisania numeru zamówienia. Podatność umożliwiała dostęp tylko i wyłącznie do wyświetlenia adresu e-mail oraz numeru telefonu.
Nasz dział Security, we współpracy z zespołem IT, dokładnie przeanalizował sytuację i jednoznacznie potwierdziliśmy, że nie doszło do wykorzystania podatności w celu nieuprawnionego pozyskania danych. Podatność została użyta wyłącznie w celach weryfikacyjnych przez zgłaszającego oraz dziennikarza, a wszelkie działania mieściły się w granicach odpowiedzialnego ujawnienia.
Bezpieczeństwo danych Klientów jest dla Morele.net absolutnym priorytetem. Nieustannie wdrażamy i rozwijamy rozwiązania podnoszące poziom bezpieczeństwa naszych systemów, aby skutecznie minimalizować ryzyko pojawiania się podobnych podatności w przyszłości. Dziękujemy za odpowiedzialne i szybkie zgłoszenie – tego typu sygnały pozwalają nam natychmiast reagować oraz jeszcze skuteczniej chronić dane naszych Klientów. Współpraca i zgłaszanie podatności przez użytkowników wpisuje się w najlepsze praktyki rynkowe, które stanowią ważny element ciągłego doskonalenia zabezpieczeń IT.
Także błąd został już wyeliminowany. Sklep zapewnia też, że nie doszło do ujawnienia danych klientów. Nie zmienia to faktu, że to spora wpadka.
