Wyciek danych klientów HRD.pl

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19144
Reakcje/Polubienia
55677
Błędy w aplikacjach się zdarzają. Zdarzają się także błędy trywialne. Zdarzają się również błędy prowadzące do ujawnienia danych użytkowników. Najgorzej jednak, gdy obie kategorie się pokrywają. To zdarzyło się HRD.pl.

HRD.pl jest jednym z ważniejszych pośredników rejestracji domen w Polsce. Od wielu lat obsługuje licznych sprzedawców detalicznych. Od kilku miesięcy firma planowała migrację klientów do nowego panelu. Migracja się odbyła w ostatni weekend, choć nie bez problemów. Jednym z efektów ubocznych był błąd umożliwiający wyciągnięcie danych klientów firmy i zarejestrowanych przez nich domen.

Błąd stary jak węgiel kamienny

Zaloguj lub Zarejestruj się aby zobaczyć!
znaleźliśmy informację mówiącą, że firma HRD może mieć problem związany z bezpieczeństwem danych klientów. Napisaliśmy do autora wpisu sugerującego incydent bezpieczeństwa i otrzymaliśmy szczegółowe informacje pozwalające na potwierdzenie fatalnej wpadki.

Nie wiemy, co było przyczyną incydentu (HRD do tej pory nie odpowiedziało na nasze pytania z niedzieli), lecz wiemy, że każdy posiadacz konta w HRD o minimalnych umiejętnościach IT mógł uzyskać nieskrępowany dostęp do danych innych użytkowników. Wystarczyło zajrzeć do linka o treści:
xxxxx://bok.hrd.pl/csa/services?id=[id klienta]
by poznać imię danego użytkownika, jego nazwisko oraz listę zarejestrowanych domen wraz z czasem ich zakupu i wygaśnięcia. Wyglądało to na przykład tak:

HRD01-580x365.png

Błąd polegający na manipulacji parametru wywołania adresu w celu uzyskania cudzych danych nie jest nawet kategorii „przedszkole programistyczne” – raczej powinno się o nim uczyć w żłobku. Niestety, jak widać, nawet wielomiesięczne testy nie pozwalają na wykrycie tak trywialnej pomyłki.

Wspaniała reakcja na incydent

Gdy tylko dowiedzieliśmy się o błędzie, natychmiast skontaktowaliśmy się z HRD – na wszelki wypadek wysłaliśmy zarówno wiadomość z formularza kontaktowego, jak i e-maila. Ktoś chyba czyta wiadomości, ponieważ błąd zniknął w ciągu ok. 1h. Niestety nie doczekaliśmy się do tej pory (a wiadomość wysłaliśmy w niedzielę wieczorem) żadnej odpowiedzi na kilka zadanych przez nas pytań. Zapewne najpierw firma musi ustalić, jak ten incydent obsłużyć od strony RODO, a to niełatwy kawałek chleba. Poinformowaliśmy, że artykuł powstanie w poniedziałek, poczekaliśmy do wtorku, a komentarza nadal nie ma, zatem czas opublikować. Jeśli HRD uzna za stosowne podesłać swoje stanowisko, znajdziecie je w aktualizacji artykułu.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry