16:02
12/1/2016

Od ponad tygodnia spływają do nas informacje dotyczące użytkowników serwisu OLX, którzy “utracili kontrolę” nad swoim kontem. Co ciekawe, w żadnym z przypadków ataki nie wyglądały na celowe, a do konta ofiar dostęp uzyskiwały przypadkowe osoby. Jak się okazało, elementem wspólnym wszystkich “włamań” jest przeglądanie ogłoszeń ofiary na aplikacji mobilnej OLX na systemie Android.

Jak przebiega atak?

Oto przebieg “ataku”, który udało się ustalić na podstawie zgłoszeń kilku czytelników:

    1. Ofiara publikuje w internecie (np. na Facebooku) lub wysyła e-mailem link do listy swoich ogłoszeń.
    2. Po chwili ogłoszenia są modyfikowane (usuwane).
    3. Część z ofiar dostaje wiadomości od innych użytkowników OLX, którzy przeglądali ogłoszenia ofiary i “nagle zostali zalogowani na jej konto w aplikacji mobilnej”.

Wszystko wskazuje na to, że aplikacja mobilna OLX na Androida (wersja 3.8.2), na skutek jakiegoś błędu, w niektórych przypadkach pozyskuje token sesyjny właściciela danego ogłoszenia, umożliwiając tym samym dostęp do konta ofiary (modyfikację ogłoszeń i podgląd innych danych). Przypadkowy atakujący zazwyczaj orientuje się, że aplikacja zalogowała go na czyjeś konto, kiedy otrzymuje Push Notification z androidowej aplikacji OLX dotyczący nieswojego ogłoszenia.

To, co na swoim telefonie zobaczył czytelnik Rafał (nie Artur)

To, co na swoim telefonie zobaczył Rafał (nie Artur)

Problem zdaje się leżeć w “liście ogłoszeń” danego użytkownika. Strona najprawdopodobniej zawiera token sesyjny lub inny mechanizm powodujący “zalogowanie” aplikacji mobilnej na konto użytkownika, którego ogłoszenia są wyświetlane. Większość piszących do nas “ofiar” informowało, że ich konto zostało przejęte po udostępnieniu na FB linku do listy wszystkich ogłoszeń.

Oto wiadomość jednego z czytelników, który jako pierwszy poinformował nas o problemach OLX:

chciałbym opisać dziwną sytuację, która przydarzyła mi się z serwisem
olx. Jej efektem jest to, że kolega może edytować moje ogłoszenia, a
także czytać prywatne wiadomości!
Wystawiłem ostatnio kilka ogłoszeń i w sobotę udostępniłem na
facebooku link do mojej listy ogłoszeń.

Wczoraj kolega zadzwonił do mnie, że stało się coś dziwnego. Kolega
mówi, że otworzył na telefonie link z mojego facebook’a, otwarło się
to w aplikacji mobilnej olx na jego htc z androidem, zobaczył co tam
jest i poszedł spać. Wkrótce dostał jednak maila od olx, z
podziękowaniem za dodanie ogłoszeń. Żadnych ogłoszeń nie dodawał, więc
nie bardzo wiedział o co chodzi, dlatego wszedł na swoją aplikację
mobilną i tam zobaczył, że na liście jego ogłoszeń widnieją moje
ogłoszenia… Jak mi o tym powiedział, to poprosiłem go, żeby
spróbował coś edytować, żeby zobaczyć czy to jakieś kopie, czy ma
dostęp do moich ofert. Bez problemu dopisał w jednej ofercie
“Pozdrawiam” na końcu.

Nigdy nie miałem w ręku jego telefonu, więc niemożliwe, żeby coś tam
po mnie zostało.

O ile ogłoszenia mogę przeboleć, to dostęp do prywatnych wiadomości
jest nie do zaakceptowania.!

Zgłosiłem tę sytuację wczoraj olxowi, ale na razie bez odpowiedzi,
więc jak chcecie to też możecie się temu przyjrzeć.

A tu wiadomość od kolejnego czytelnika:

co najmniej 10 osób ma już dostęp do mojego konta. Automatycznie loguje ich na moje konto, mają problemy aby zalogować się na swoje bo przekierowuje ich na moje, 10 osób mi już to zgłosiło, niektórzy dzwonili. Może warto się sprawą zainteresować. Problem leży po wersji mobilnej. Przypadkowe osoby uzyskują wiadomości na swoją skrzynkę pocztową, treści wszelkich komunikatów kierowanych na mój e-mail. Ktoś się wkurzył i mi usunął ogłoszenia wszystkie. Olx od kilku dni nic nie zroibło.

Mam konto na OLX — co robić, jak żyć?

Pocieszające jest to, że przejęcie czyjegoś konta to dostęp do danych teleadresowych (z czego telefon czy inne numery, np. GG i tak są ujawniane w treściach ogłoszeń). Niestety, “przypadkowy atakujący” będzie także miał wgląd w treści prywatnych wiadomości — a tam niekiedy pojawiają się dodatkowe, wrażliwe informacje, ponieważ użytkownicy zakładają, że osoby postronne nie mają od nich dostępu.

Dodatkowo, niepokojące jest to, że bardzo szybko można na OLX (po uzyskaniu dostępu do czyjegoś konta) to konto usunąć. Na szczęście podmiana e-maila nie będzie taka łatwa — tu aplikacja wymaga podania konta, którego przypadkowo zalogowana ofiara nie zna.

Obecnie czekamy na wyjaśnienia OLX, a do tego czasu wszystkim użytkownikom OLX sugerujemy powstrzymanie się od publikowania gdziekolwiek linków do swoich ogłoszeń i pokasowanie wiadomości prywatnych na swoim koncie OLX (gdyby ktoś się do niego dostał).

PS. Przejmowanie kont to nie jedyne problemy OLX…

olx_pl_mojolx_

Aktualizacja 13.1.2016
Dziś rano otrzymaliśmy następujące oświadczenie od OLX:

My również otrzymaliśmy zgłoszenia tego problemu – głównie od użytkowników, którzy po kliknięciu w link do ogłoszenia zamieszczonego na Facebooku orientowali się, że oglądają strony OLX zalogowani na konto innej osoby. Sprawdziliśmy – faktycznie, niektóre linki do ogłoszenia użytkownika udostępnione na portalach społecznościowych zawierały kod do autologowania. Jeśli ktoś kliknął w ten link został automatycznie zalogowany na konto osoby udostępniającej link. Szacujemy, że taki problem mógł dotyczyć kilkudziesięciu użykowników OLX, którzy udostępniali swoje ogłoszenia. Błąd został usunięty 12 stycznia. Obecnie prowadzimy audyt i chcemy być pewni, że takie ryzyko już nie wystąpi. Dezaktywowaliśmy linki autologujące tym użytkownikom, których ten problem dotyczył i dziś rano wysłaliśmy komunikat do nich komunikat. Wyjaśniamy w nim podjęte kroki i dalsze działania. Dane userów są bezpieczne, nie mogło dojść do zmiany haseł (bez dostępu skrzynek mailowych) więc spokojnie mogą logować się na swoje konta.

Działamy też w sprawie „502 Bad Gateway”. Problem z błędami 5xx występującymi sporadycznie w ostatnich kilku dniach, wynikał z niestabilności naszego Load Balancera po rozłożeniu na większą liczbę rdzeni procesora. Po ograniczeniu do korzystania z 25% dostępnych rdzeniu, wydajność nie uległa większej zmianie, jednak udało się uzyskać poprawną stabilność i ograniczyć znacznie występowanie błędu 5xx.  Temat jest dość nietypowy – na tę chwilę udało nam się wstępnie zlokalizować przypuszczalną przyczynę, jednak cały czas monitorujemy i analizujemy problem.

Treść komunikatu dla użytkowników:

Jeśli w ostatnim czasie dzieliłeś się swoim ogłoszeniem na portalach społecznościowych mógł pojawić się błąd techniczny i ktoś mógł zalogować się na twoje konto. Zapewniamy – Twoje dane są bezpieczne a błąd został usunięty. Na czym polegał? Część z linków opublikowanych na portalach społecznościowych, prowadzących do ogłoszeń na olx.plposiadała dodatkowy kod, który automatycznie logował na konto autora ogłoszenia. 
Wykryliśmy, że link do co najmniej jednego Twojego ogłoszenia zawierał taki kod, w związku z tym wykonaliśmy następujące akcje:

1. Dezaktywowaliśmy wszystkie linki autologujące na Twoje konto
2. Wylogowaliśmy Cię ze wszystkich urządzeń.

Nadal możesz logować się wykorzystując hasło, które używałeś do tej pory – osoby mające dostęp do Twojego konta nie miały możliwości poznania, ani zmiany hasła bez dostępu do Twojego konta email.

Jeśli nie stworzyłaś/eś dotychczas hasła i korzystałaś/eś tylko i wyłącznie z linków autologujących, możesz wygenerować hasło do Twojego konta pod tym adresem: https://ssl.olx.pl/konto/nowehaslo/, a następnie potwierdzić hasło klikając w link który otrzymasz na skrzynkę e-mail.

Przepraszamy za wszelkie niedogodności. Jeśli masz pytania związane z bezpiecznym korzystaniem z konta – zachęcamy do kontaktu przez formularz na stronie.


Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Niech OLX jak najszybciej coś z tym zrobi, bo to gratka dla prawdziwych włamywaczy.
    PS: Ja błędu 502 już nie mam.

  2. Wczoraj wyskakiwał błąd 502, wystarczyło przeładować stronę.

  3. Olx gęsto rozsyła też linki w ogłoszeniach (odśwież swoje ogłoszenia, masz wiadomość itp). Często nie trzeba się logować na czyjeś konto bo taki link jest już od razu “zalogowany” i przekierowuje do właściwej rozmowy. Czekam aż kiedyś ktoś się pieprznie i wyśle takie maile nie tam gdzie trzeba ;)

  4. Apropo błędów ;-) echo date w stopce niebezpiecznika, to taka branżowa ozdoba? ;-)

    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    • Tak, gdzieś na stronie jest to opisane, że to specjalnie :D

    • To taka zabawa dla laików ;)

    • polecam źródło strony…

    • tak się dać ;)

  5. Dodatkowo, niepokojące jest to, że bardzo szybko można na OLX (po uzyskaniu dostępu do czyjegoś konta) to konto usunąć lub zablokować poprzez zmianę hasła — procedura zamknięcia konta czy też “resetu” hasła nie wymaga bowiem podania starego konta. Na szczęście podmiana e-maila nie będzie taka łatwa — tu aplikacja wymaga podania konta, którego przypadkowo zalogowana ofiara nie zna.

    “nie wymaga bowiem podania starego konta”
    “tu aplikacja wymaga podania konta”

    Jakiego konta?! Może chodzi o “hasła”?

  6. Witam.
    Przydarzyła mi się dzisiaj taka sytuacja. Po skorzystaniu z opcji “Odśwież swoje ogłoszenia” za pomocą maila, który otrzymałem od OLX, dostałem momentalnie 2 nowe wiadomości. Pierwsza z nich informowała mnie o tym, że właśnie założyłem konto na stronie http://www.oglaszamy24.pl/ (loginem jest mój mail używany na OLX, hasło otrzymałem w tym samym mailu). Natomiast druga wiadomość radośnie obwieszczała, że szczęśliwym zrządzeniem losu moje ogłoszenia z OLX, zostały opublikowane na w/w stronie. Dodam tylko, że pierwszy raz widzę tę stronę, co więcej, nigdy się na niej nie rejestrowałem ani nie publikowałem żadnych ogłoszeń. Skorzystałem już z formularza kontaktowego na w/w stronie w celu zgłoszenia moich obiekcji na ten temat, niestety nie otrzymałem jak dotąd żadnej odpowiedzi.
    Dziwny temat, warty głębszej analizy.

    • Hint: mail który dostaleś nie był od OLX (padłeś ofiarą oszustwa)

  7. Warto dodać, że OLX SPAMUJE w aplikacji mobilnej takimi wiadomościami, klika razy na tydzień. Ja zablokowałem wszystkie powiadomienia od aplikacji OLX, bo było to nie do zniesienia. Nie można tego wyłączyć w tradycyjny sposób.

    • Też mnie to denerwuje, niestety nie mogę wyłączyć bo przydają mi się powiadomienia o odpowiedziach na ogłoszenia.

  8. Albo to naprawili albo informacje z artykułu są częściowo błędne. Przy próbie zmiany hasła przez stronę www lub przez aplikację pojawia się informacja o konieczności potwierdzenia zmiany przez kliknięcie w link przesłany na maila

  9. “procedura zamknięcia konta czy też “resetu” hasła nie wymaga bowiem podania starego konta. Na szczęście podmiana e-maila nie będzie taka łatwa — tu aplikacja wymaga podania konta, którego przypadkowo zalogowana ofiara nie zna. ”

    Chyba powinno tutaj być “hasła” zamiast “konta” w co najmniej 2ch miejscach :)

  10. 502 dzisiaj też wyskakuje i dzieją się dziwne rzeczy, np. dostałem odpowiedź na ogłoszenie, odpowiedziałem pytającemu i kolejną odpowiedź od niego dostałem jako odpowiedź na moje inne ogłoszenie…

  11. Korzystam z olx tylko w tradycyjny sposób więc zauważyłem, że olx wysyła mailowo przypomnienia o konieczności odświeżenia ogłoszenia. W wiadomości jest link “Mój olx”, po kliknięciu którego jest się od razu zalogowanym na swoje konto bez konieczności wpisywania hasła. Link jest w postaci :
    h[]://ssl.olx.pl/mojolx/?action=account&alog=70bc%3A8fLB-e7wIZQwhnXXXXXXXXX
    Może chodzi właśnie o taki mechanizm “ataku”

  12. Do redakcji:
    -“resetu” hasła nie wymaga bowiem podania starego konta
    -nie “starego konta” a “starego hasła do konta”

  13. Android. I wszystko jasne

    • Czyli co jasne?

    • Wszystko

  14. Ja zgłosiłem ten błąd olxom przed świętami, około 20 grudnia. Do dzisiaj co najmniej jedna osoba ma dostęp do mojego konta!

  15. czyli poprostu niechwal sie tym co sprzedajesz na OLX

  16. No ja rozumiem, że można nie potrafić wysłać odpowiedniego headera http ale żeby się tym pochwalić na koniec artykułu?!

  17. Można zalogować się na inne konto. Jak to sprawdzić dla celów testowych
    1. Trzeba mieć dwa konta olx Alfa i Beta
    2. Wystawić ogłoszenie na Alfa
    3. napisać wiadomość.
    4. Olx na maila prześle info, że jest wiadomość.
    5. Instalujesz aplikację OLX logujesz się Beta
    6. Klikasz link z dedykacją,żeby otworzył w aplikacji
    7. I tutaj przechodzimy do wiadomości i jednocześnie do całego panelu aplikacji

  18. nie błąd, ale ficzer – dawno nie korzystałem z olx, ale domyślam się że dalej wysyłają linki z automatycznym logowaniem w mailach w stylu “hej, kliknij tutaj żeby zmienić swoją ofertę”, bo dla większości userów logowanie mailem i hasłem to jest misja na marsa ;-) przynajmniej tak kiedyś robili, więc może teraz poszli dalej i zamiast wysyłać kilka maili wysyłają jeden, z linkiem do listy (i on już loguje, a user opublikował go na FB, heheh)
    wiem co mówię, bo pracowałem w tej branży i bardzo często ktoś tam się gdzieś chwalił że zhackował system, ale tak na prawdę przesłał komuś taki właśnie prywatny link :)
    jest też opcja że olx zatrudnia wykopowych programistów po 15k netto i faktycznie zaliczyli fakap, ale jakoś wątpię ;)

  19. Jak bardzo trzeba schrzanic architekture systemu by jakis gosc logowal sie na twoje konto?! Inny powod to wstawienie zlej zmiennej – ot zamienili token goscia z tokenem wlasciciela konta – ale takie sprawy wyszlyby na etapie glupiego review kolegi, ktore przeciez sie odbylo… prawda?

  20. A ma ktoś inny pomysł aby wykonać logowanie dla niezarejestowanego użytkownika :p ?

  21. Ludzie pisali do OLX zgłoszenia błędów, a ci ich olewali. Sorry OLX jesteście wiarygodni jak reklamy z lekiem na raka https://aplikacjaolx.wordpress.com/

  22. Twierdzą, że wylogowali tych problemowych użytkowników, a mój kumpel ciągle jest zalogowany na moje konto, nie dostałem też żadnej wiadomości :]

    • Po nagłośnieniu sprawy, przynajmniej zaczęli szybciej odpowiadać na zgłoszenia. W końcu mnie też wylogowali ze wszystkich urządzeń – po zwróceniu im uwagi, że tego nie zobili.

  23. Dzisiaj dostałem maila z informacją, że problem naprawiony i w moim przypadku wygląda na to, że się udało. Kolega został wylogowany z mojego konta. Po całej mojej korespondencji z gościem z BOKu, trochę mu współczuję, bo widzę, że w dziale IT to musi pracować ciekawa ekipa… Kwintesencją było, jak mi napisali, że zalecają usunięcie posta z linkiem z facbooka, po czym dosłownie po 20 minutach otrzymałem prośbę, żebym przesłał link do tego posta :D Chcę wierzyć w to, że ten soft piszą hindusi, a nie Polacy.

  24. Skoro dane osobowe wyciekały, to chyba sprawa dla GIODO.

  25. Kiedy niebezpiecznik wdrozy httpsa?

    • Wpis https:// przed nazwą serwisu. Jest wdrożony, nie jest wymuszany.

    • nie potraficie zrobić odpowiedniego redirecta? w dzisiejszych czasach szaujący się portal ma takie coś :-)

  26. Czy problem mógł/może dotyczyć również iOS?

  27. Jakieś porządne zabezpieczenie konta by sie przydalo

  28. Dlatego nie mam jakoś zaufania do aplikacji mobilnych. Telekomy i banki zachęcają nawet reklamami do instalacji ich appek. Ale wiem ile może być tego ustrojstwa? Skoro nadal problemem jest porządne obsłużenie ruchu z komputerów i ich przeglądarek internetowych.

  29. Mnie zastanawia inna rzecz, dodaję ogłoszenie i za każdym razem w formularzu domyślnie mi apka wciska jakiś obcy nr telefonu kontaktowego.
    Nie mam zielonego pojęcia co to za jeden, zawsze muszę ręcznie wklepywać swój.

    • Inna bajka że nie muszę się nigdy logować, zmiana telefonu, po prostu instaluję apkę, otwieram i jestem zalogowany.
      Ktoś wyjaśni jak to rozpoznaje usera?
      Loguje się po prostu przez konto googla?

  30. @daras, jak rozpoznaje, a jak ma rozpoznawać bez post ?
    Odpowiedź: po gecie :p

  31. prosty wniosek nie używać olx jeśli nie znasz się na bezpieczeństwie

  32. Ja ostatnio dostaje wiadomości, że ktoś jest zainteresowany kupnem ale mam odpowiadać na maile… oczywiście nie odpowiadam gdyż nie widzę problemu rozmowy przez OLX trochę to dziwne. Jak myślicie czy to jakiś oszust?

    • mi czesto strona z wiadomosciami nie wchodzi i tez prosze o email. Pozatym wole, by jakis palant z olxa nie mial dostepu do mojej korespondencji

  33. Allegro dziś właśnie nam serwuje poziom bezpieczeństwa. Ze swoich danych można logować się na cudze konta, przeglądać ofert itp. Serwis dla bezpieczeństwa powinien zostać wyłączony, tylko po co ? Przecież tam są dane tylko użytkowników.

  34. za to wyszpiegowaie nazwy kompa i GUID z rejestru funkcjonuje, ninja.js
    HKLM\SOFTWARE\MICROSOFT\CRYPTOGRAPHY”, Key: MACHINEGUID

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: