14:49
16/6/2011
16/6/2011
Atakujący po prostu zmieniali identfikator klienta widoczny w pasku adresu przeglądarki na inny. Brak kontroli dostępu w bankowych skryptach umożliwił podgląd danych innych klientów. O ataku pisaliśmy tutaj. Jeśli jesteś zainteresowany bezpieczeństwem webaplikacji — zachęcamy do udziału w naszym szkoleniu.
Aż zabolało ;x
Wygląda na to, że wystawiali na świat publiczne API dostępowe do danych klientów. ;]
W podobny sposób załatwiono niedawno Sony – można było każdemu zmienić hasło do konta PSN. Tyle że tam trzeba było znać podaną datę urodzenia i email, a tutaj… “Bierz co chcesz” :)
Powiem tylko, że identycznie sprawa wyglądała w systemie rozliczeń energetycznych ENERGA.
Od zgłoszenia 3 tygodnie na naprawę
orange.pl też miało podobną luke z rok temu