České eshopy „rozdávají“ Vaše data
Nakupování v eshopech se u nás stalo celkem běžnou záležitostí. Není se také čemu divit – ceny bývají oproti kamenným obchodům většinou nesrovnatelné (nesrovnatelně nízké). Zboží si můžeme interaktivně prohlédnout v teple domova, zaplatit převodem přes internet, nechat doručit dobírkou a když se nám nelíbí tak ho zase vrátit. Možná to zní jako pohádka, ale to neznamená, že náš příběh bude mít dobrý konec…
Málo kdo si totiž uvědomuje, že se současným vyplněním objednávky v eshopu zanechává svůj „otisk“. Eshopy obvykle shromažďují data nezbytně nutná (jako je jméno, adresa či telefon). Nebývá ale vy jímkou, když si uloží také údaje mnohem citlivější – jako jsou například informace o vaší platební kartě.
V tom lepším případě, by při nabourání obchodu „hackerem“, mohlo vyjít najevo, že si každý měsíc po výplatě objednáváte nějakou sprosťárničku v sexshopu. V horším případě útočník zjistí i heslo a bude si tak moct číst vaši soukromou poštu s přítelkyní/milenkou/manželkou neboť do emailu zadáváte stejné heslo jako do eshopu. Pokud chcete slyšet hororové scénáře, pak věřte, že není problém využít uložených informací o vaší kartě a objednat si tak jakékoliv zboží, které ve výsledku ovšem nezaplatí útočník, ale vy z vaší karty.
Stále si myslíte, že se vám to nemůže stát neboť nakupujete pouze v renomovaných a velkých eshopech? Chyba!
Před před více jak týdnem jsem zcela náhodou objevil na stránkách jednoho z největších českých prodejců outdoorového vybavení – firmy Rock point zcela zásadní (a naprosto školáckou) bezpečnostní chybu. Ihned jsem prodejce emailově kontaktoval a problém mu nastínil. Bohužel do dnešního dne jsem neobdržel odpověď a chyba je stále neopravená.
O co jde?
Při hledání dokumentace k jednomu z výrobků jsem narazil na následující odkaz:
http://www.rockpoint.cz/download.php?soubor=soubory/seznam_odberatelu_NET.xls
Nebývá zrovna zvykem, že by prodejce uveřejňoval seznam svých odběratelů. To ve mě vyvolalo pocit, že tato stránka měla být před zraky zákazníků ukryta. Začal jsem přemýšlet, co by se stalo, kdybych zadal jako parametr jiný soubor než je seznam_odberatelu_NET.xls. Po chvíli jsem tedy do adresního řádku zadal následující adresu:
http://www.rockpoint.cz/download.php?soubor=soubory/../index.php
Při čemž „index.php“ bývá „startovací stránkou“ webu a řetězec „../“ značí, že se jedná o nadřazený adresář.
To co se stalo mi téměř vyrazilo dech. Zobrazila se mi totiž opravdu zdrojová stránka souboru index.php. Opravdu bych nečekal, že u tak velkého prodejce narazím na tak kritickou chybu.
Ze zvědavosti jsem stejným způsobem procházel všechny ostatní soubory na serveru, až jsem došel k následujícímu:
http://www.rockpoint.cz/download.php?soubor=inc/conf_databaze.php
Tento soubor (jak je již patrné z názvu) obsahuje data potřebná pro připojení k My SQL databázi.
Tím ovšem má zvědavost neskončila. Rozhodl jsem se výsledek ověřit.
V konfiguračním souboru je uveden jako My SQL host „uvdb4.globe.cz“. Vzdálený přístup k této databázi sice není povolen, ale to mě nemohlo odradit. Po chvíli hledání jsem zjistil, že se jedná o server, který je provozován v rámci hostingu Active 24. Na stejnojmenných stránkách jsem pak v sekci podpora našel odkaz k PHPMyAdminovi, který umožňuje spravovat My SQL databáze pomocí web prohlížeče. Kliknul jsem na link a zadal přihlašovací údaje. Nemohlo následovat nic jiného, než úspěšné přihlášení. Přede mnou byl kompletní seznam všech výrobků, uživatelů, objednávek a seznamů prodejen. V podstatě bych v této chvíli mohl eshop plně ovládnout, ale mě zajímala poslední neprozkoumaná věc – administrativní sekce obchodu.
Administrační sekci nebylo zase tak těžké najít. Kupodivu se nacházela na url:
http://www.rockpoint.cz/admin/
Nahlédl jsem zpět do tabulky administrátorů, abych zjistil přihlašovací jméno a heslo. Zde byla alespoň nějaká snaha o zabezpečení – heslo bylo zakódováno pomocí algoritmu MD5. Bohužel tento algoritmus je už dnes „překonaný“. heslo prvního administrátora jsem tak „rozlouskl“ díky jeho jednoduchosti přes jednu z online HASH databází. Heslo druhého administrátora bylo sice složitější, ovšem pod útokem rainbow tabulek bylo později prolomeno také. Oba účty jsem ještě otestoval – byly funkční. Tím má „práce“ skončila.
Výše uvedený text nenabádá k zneužití popsané chyby. Text byl sepsán z důvodu laxního přístupu administrátorů danných stránek.
Zajimave 🙂
20 března, 2008 at 1:45 pmTo je docela brutální. Upozornil jsi Rockpoint???
3 června, 2008 at 10:15 pmAno upozornil. Už je to i opraveno. Bohužel toto není případ pouze Rockpointu, ale desítky dalších eshopů.
4 června, 2008 at 9:01 amtak to je naprosty masakr. To nepotrebuje dalsi komentar. hura stado, sup sup pro elektronicke obcanky a podobne totalitni praktiky.
28 září, 2009 at 2:10 amBohužel nejen u nás
10 března, 2010 at 4:10 pmPravda, všude jsou problémy 🙁 ale s tim se jen tak něco asi neudělá …
9 listopadu, 2012 at 5:10 pm