19/9/2011
Zła passa Grupy Allegro chyba trwa. Najpierw kilkugodzinna awaria w serwerowni, potem wyciek danych z serwisu BuyVIP (obecnie Markafoni), a teraz błąd programistyczny pozwalający przejąć kontrolę nad kontami użytkowników serwisu Tablica.pl.
Tablica.pl i przejęcie konta użytkownika
Tablica.pl to serwis z ogłoszeniami, wcześniej znany jako Szerlok.pl. Najpierw należał do właścicieli Wykop.pl, teraz jest własnością Grupy Allegro.
O błędzie w Tablica.pl poinformował nas czytelnik Xandersky. Zauważył on, że jeśli użytkownik serwisu odpisze na przesłaną mu wiadomość, to w treści odpowiedzi, która przychodzi jako e-mail pojawia się link, który po kliknięciu automatycznie loguje nas na konto naszego rozmówcy.
Tablica.pl - powiadomienie e-mailem o nowej odpowiedzi zawiera link automatycznie logujący do konta naszego rozmówcy
Wysłanie pierwszej wiadomości. Link, który przychodzi, poprawnie loguje nas na nasze własne konto:
Tablica.pl - zalogowany jako użytkownik A.
Jeśli właściciel ogłoszenia odpowie na naszą wiadomość, system nieprawidłowo generuje link, który po kliknięciu automatycznie daje nam dostęp do konta właściciela ogłoszenia:
Tablica.pl - zalogowany jako właściciel ogłoszenia (użytkownik B)
Z kontem właściciela ogłoszenia można było zrobić wszystko — od zmiany e-maila, poprzez zmianę hasła (system nie wymaga podania poprzedniego), aż do usunięcia konta (wystarczy wcisnąć przycisk usuń konto), czy podejrzenia lub podmiany danych kontaktowych.
Tablica.pl - zmiana hasła, wystarczy podać nowe, żeby odciąć użytkownika od jego konta.
Błąd poważny, ale czy straszny?
Dla potencjalnego atakującego przejęcie czyjegoś konta na Tablica.pl nie będzie wielkim łupem — nic poza adresami e-mail, numerami GG czy Skype tam nie znajdziemy. Złośliwy atakujący mogłby jednak pokusić się o modyfikację treści lub skasowanie aukcji albo inne dowcipy (czy dałoby radę przechwycić zakupiony przedmiot?).
Tomasz Drożdżyński z serwisu Tablica.pl szybko odpowiedział na przesłane do serwisu pytania:
Czy uważacie Państwo w/w mechanizm komunikacji jako poprawny?
Sam mechanizm, w którym kliknięcie linka powoduje automatyczne zalogowanie, jest w naszej ocenie jak najbardziej poprawny. Ponieważ Tablica.pl nie bierze udziału w transakcjach, nie przechowuje wrażliwych danych, a nieuprawniony dostęp nie może wyrządzić żadnych szkód, postawiliśmy na absolutną prostotę i nie zachęcamy użytkowników do rejestrowania konta oraz zapamiętywania hasła. Swoje konto można obsługiwać poprzez kliknięcie linka w mailu.
Nie powinna jednak zdarzyć się sytuacja, że kliknięcie w link loguje nas na konto kogoś innego, to oczywiście błąd, za który przepraszamy.Kiedy błąd zostanie poprawiony?
Błąd został naprawiony dziś przed południem [dziś == 14.09.2011 — dop. red. Artykuł publikujemy z opóźnieniem].Jakie akcje w systemie może wykonać osoba, która wejdzie za pomocą w/w linków na nie swoje konto?
Może usunąć ogłoszenie, zmienić opis lub wystawić nowe. Można też zobaczyć odpowiedzi innych użytkowników na dane ogłoszenie. Żadna z tych czynności nie wiąże się z poważnymi konsekwencjami, natomiast błąd o którym mówimy, mógłby posłużyć do zrobienia komuś dowcipu.Od jak dawna ten błąd istniał w systemie?
Błąd istniał od 13 września od godziny 14:00.
Sam błąd, który umożliwiał przejęcie konta użytkownika na Tablica.pl należy zaliczyć do zwykłych pomyłek programistycznych. Jednakże, w obliczu tego błędu warto przypomnieć to, o czym mówimy na naszych szkoleniach z bezpieczeństwa webaplikacji — przesyłanie tokenów sesyjnych w URL-ach może i ułatwia logowanie do serwisu, ale pod kątem bezpieczeństwa nie jest dobrym pomysłem (hint: ujawnienie tokenu np. poprzez nagłówek Referer, ułatwienie ataków typu Session Fixation). Warto również kolejny raz wspomnieć o dodatku Firesheep do Firefoksa, jeśli ktoś uważa, że brak szyfrowania połączeń w przypadku tokenów sesyjnych to dobry pomysł…
Na koniec warto zauważyć, że nie “niebezpieczny” sposób przesyłania tokenu był dla Tablica.pl głównym problemem, a to, że na skutek pomyłki programisty linki z tokenami sesyjnymi trafiały do złych osób.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Zdaje mi się, czy gość odpowiadający na pytania Niebezpiecznika ‘delikatnie’ zbagatelizował sprawę ?
Możliwość przejęcia konta, skasowania go lub wykorzystania do zrobienia ‘przekrętu’ to wg. niego dowcip ? No to ja gratuluję poczucia humoru i dobrego samopoczucia ;)
To raczej ty stawiasz sprawę w zbyt poważnym świetle :)
hehe, nie dosc ze goscie z wykopu || szerloka || tablica zbagatelizowali blad, to jeszcze panicznie reaguja i chronia swoj wizerunek zakopujac znalezisko na temat tego wpisu na wykopie, LOL!!!
http://www.wykop.pl/link/zakopali/882435/powazny-blad-w-tablica-pl-wczesniej-szerlok-pl/
Grunt to obiektywizm panie Kiner! :]
@lopata
a to dranie! Chyba czas zaczac sezon na bughunting w serwisach okolo wykopowych i rozpedzic to TWA ;\]
@Mariusz – ciekawe czy tak samo by się tłumaczyli, gdyby błąd dotyczył konta na Allegro ;)
Też by powiedzieli, że to można tylko do żartu wykorzystać ?
Ja bym chętnie temu zrobił ‘żart’ kupując parę drobiazgów za kilkadziesiąt tysięcy i na dokładkę sprzedając kilka. Ciekawe czy też by się śmiał wtedy ;)
ciekawe czy przy przejęciu w taki sposób konta administratora nie można było zrobić większego kuku
I znów strona grupy allegro…
Tablica.pl jest fajna, ale stosuje czasami dość ciekawą logikę. Odkryłem kiedyś, że po zapisaniu ogłoszenia na swoim koncie w serwisie nie zostanie ono znalezione po zalogowaniu na konto z innego komputera. Zgłosiłem jako błąd, że dane te trzymane są w cookies, i dostałem odpowiedź, że.. właśnie takie jest zamierzenie.
It’s not a bug, it’s a feature ! :D
Good feature ;))))))
A mnie rozbawił fakt, że na obu screenach maile u góry (zalogowane konto) są częściowo zamazane – ale już te same adresy przy wiadomościach widnieją w całej okazałości.
Właśnie miałem o tym napisać. Paint Ci nie służy Unknow ;p
Przy zmianie hasła brak monitu o poprzednie, super!
Chyba lepiej logować się do Tablicy przez Facebooka. Tablica generalnie jest traktowana jako darmowy portal ogłoszeniowy, więc i zabezpieczenia nie są zbyt mocne. Równie dobrze można w czyimś imieniu wystawić ogłoszenie o sprzedazy jego samochodu w celu zrobienia temu komuś na złość w serwisie ogłoszeniowym nie wymagającym żadnego logowania. Na całe szczęście Tablica nie jest zintegrowana z Allegro. Nic dziwnego ma go tylko uzupełniać, bo niektóre rzeczy łatwiej sprzedać face to face i wtedy lepsze są tradycyjne ogłoszenia (z założenia Tablica ma służyć do wystawiania i przeglądania ogłoszeń lokalnych). Jednak z uwagi na przynależność do Grupy Allegro nie zaszkodzi dbałość o zabezpieczenia, bo błąd w jednym z serwisów w jakimś stopniu rzutuje na zaufanie do Allegro.
PS
Kiedy będzie podwójna autentyfikacja w Allegro?
Tablica to czysty plagiat Francuskiej strony leboncoin.fr http://www.leboncoin.fr/annonces/offres/ile_de_france/ http://tablica.pl/mazowieckie/ Szerlok byl bardziej orginalny.
Chyba wszyscy komentujący zapomnieli o jednej rzeczy. Najczęściej na tablicę trafiają użyszkodnicy właśnie z alledrogo, skusi ich brak opłaty. Jeżeli postanowią coś tam wystawić to hasło jakie sobie ustalą w tablicy będzie zapewne “dla ułatwienia” takie samo jak w alledrogo…
A co ciekawe wystarczy dodać ogłoszenie na tablicy.pl, kliknąć w link aktywujący i przy kolejnym odwiedzeniu tego portalu okazuje się, że mamy założone konto! U góry ekranu widnieje Witaj (adres e-mail)… A gdy chce się usunąć konto pojawia się napis, że wraz z usunięciem konta, usuwamy treść naszego ogłoszenia i wszystkie udzielone odpowiedzi. Chyba ktoś powinien o tym informować…