10:53
19/9/2011

Zła passa Grupy Allegro chyba trwa. Najpierw kilkugodzinna awaria w serwerowni, potem wyciek danych z serwisu BuyVIP (obecnie Markafoni), a teraz błąd programistyczny pozwalający przejąć kontrolę nad kontami użytkowników serwisu Tablica.pl.

Tablica.pl i przejęcie konta użytkownika

Tablica.pl to serwis z ogłoszeniami, wcześniej znany jako Szerlok.pl. Najpierw należał do właścicieli Wykop.pl, teraz jest własnością Grupy Allegro.

O błędzie w Tablica.pl poinformował nas czytelnik Xandersky. Zauważył on, że jeśli użytkownik serwisu odpisze na przesłaną mu wiadomość, to w treści odpowiedzi, która przychodzi jako e-mail pojawia się link, który po kliknięciu automatycznie loguje nas na konto naszego rozmówcy.

tablica.pl

Tablica.pl - powiadomienie e-mailem o nowej odpowiedzi zawiera link automatycznie logujący do konta naszego rozmówcy

Wysłanie pierwszej wiadomości. Link, który przychodzi, poprawnie loguje nas na nasze własne konto:

Tablica.pl błąd pozwalający na przejęcie konta

Tablica.pl - zalogowany jako użytkownik A.

Jeśli właściciel ogłoszenia odpowie na naszą wiadomość, system nieprawidłowo generuje link, który po kliknięciu automatycznie daje nam dostęp do konta właściciela ogłoszenia:

tablica.pl błąd umożliwiający przejęcie konta

Tablica.pl - zalogowany jako właściciel ogłoszenia (użytkownik B)

Z kontem właściciela ogłoszenia można było zrobić wszystko — od zmiany e-maila, poprzez zmianę hasła (system nie wymaga podania poprzedniego), aż do usunięcia konta (wystarczy wcisnąć przycisk usuń konto), czy podejrzenia lub podmiany danych kontaktowych.

Tablica.pl

Tablica.pl - zmiana hasła, wystarczy podać nowe, żeby odciąć użytkownika od jego konta.

Błąd poważny, ale czy straszny?

Dla potencjalnego atakującego przejęcie czyjegoś konta na Tablica.pl nie będzie wielkim łupem — nic poza adresami e-mail, numerami GG czy Skype tam nie znajdziemy. Złośliwy atakujący mogłby jednak pokusić się o modyfikację treści lub skasowanie aukcji albo inne dowcipy (czy dałoby radę przechwycić zakupiony przedmiot?).

Tomasz Drożdżyński z serwisu Tablica.pl szybko odpowiedział na przesłane do serwisu pytania:

Czy uważacie Państwo w/w mechanizm komunikacji jako poprawny?
Sam mechanizm, w którym kliknięcie linka powoduje automatyczne zalogowanie, jest w naszej ocenie jak najbardziej poprawny. Ponieważ Tablica.pl nie bierze udziału w transakcjach, nie przechowuje wrażliwych danych, a nieuprawniony dostęp nie może wyrządzić żadnych szkód, postawiliśmy na absolutną prostotę i nie zachęcamy użytkowników do rejestrowania konta oraz zapamiętywania hasła. Swoje konto można obsługiwać poprzez kliknięcie linka w mailu.
Nie powinna jednak zdarzyć się sytuacja, że kliknięcie w link loguje nas na konto kogoś innego, to oczywiście błąd, za który przepraszamy.

Kiedy błąd zostanie poprawiony?
Błąd został naprawiony dziś przed południem [dziś == 14.09.2011 — dop. red. Artykuł publikujemy z opóźnieniem].

Jakie akcje w systemie może wykonać osoba, która wejdzie za pomocą w/w linków na nie swoje konto?
Może usunąć ogłoszenie, zmienić opis lub wystawić nowe. Można też zobaczyć odpowiedzi innych użytkowników na dane ogłoszenie. Żadna z tych czynności nie wiąże się z poważnymi konsekwencjami, natomiast błąd o którym mówimy, mógłby posłużyć do zrobienia komuś dowcipu.

Od jak dawna ten błąd istniał w systemie?
Błąd istniał od 13 września od godziny 14:00.

Sam błąd, który umożliwiał przejęcie konta użytkownika na Tablica.pl należy zaliczyć do zwykłych pomyłek programistycznych. Jednakże, w obliczu tego błędu warto przypomnieć to, o czym mówimy na naszych szkoleniach z bezpieczeństwa webaplikacji — przesyłanie tokenów sesyjnych w URL-ach może i ułatwia logowanie do serwisu, ale pod kątem bezpieczeństwa nie jest dobrym pomysłem (hint: ujawnienie tokenu np. poprzez nagłówek Referer, ułatwienie ataków typu Session Fixation). Warto również kolejny raz wspomnieć o dodatku Firesheep do Firefoksa, jeśli ktoś uważa, że brak szyfrowania połączeń w przypadku tokenów sesyjnych to dobry pomysł…

Na koniec warto zauważyć, że nie “niebezpieczny” sposób przesyłania tokenu był dla Tablica.pl głównym problemem, a to, że na skutek pomyłki programisty linki z tokenami sesyjnymi trafiały do złych osób.

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. Zdaje mi się, czy gość odpowiadający na pytania Niebezpiecznika ‘delikatnie’ zbagatelizował sprawę ?
    Możliwość przejęcia konta, skasowania go lub wykorzystania do zrobienia ‘przekrętu’ to wg. niego dowcip ? No to ja gratuluję poczucia humoru i dobrego samopoczucia ;)

    • To raczej ty stawiasz sprawę w zbyt poważnym świetle :)

    • hehe, nie dosc ze goscie z wykopu || szerloka || tablica zbagatelizowali blad, to jeszcze panicznie reaguja i chronia swoj wizerunek zakopujac znalezisko na temat tego wpisu na wykopie, LOL!!!

      http://www.wykop.pl/link/zakopali/882435/powazny-blad-w-tablica-pl-wczesniej-szerlok-pl/

      Grunt to obiektywizm panie Kiner! :]

    • @lopata
      a to dranie! Chyba czas zaczac sezon na bughunting w serwisach okolo wykopowych i rozpedzic to TWA ;\]

    • @Mariusz – ciekawe czy tak samo by się tłumaczyli, gdyby błąd dotyczył konta na Allegro ;)
      Też by powiedzieli, że to można tylko do żartu wykorzystać ?

      Ja bym chętnie temu zrobił ‘żart’ kupując parę drobiazgów za kilkadziesiąt tysięcy i na dokładkę sprzedając kilka. Ciekawe czy też by się śmiał wtedy ;)

  2. ciekawe czy przy przejęciu w taki sposób konta administratora nie można było zrobić większego kuku

  3. I znów strona grupy allegro…

  4. Tablica.pl jest fajna, ale stosuje czasami dość ciekawą logikę. Odkryłem kiedyś, że po zapisaniu ogłoszenia na swoim koncie w serwisie nie zostanie ono znalezione po zalogowaniu na konto z innego komputera. Zgłosiłem jako błąd, że dane te trzymane są w cookies, i dostałem odpowiedź, że.. właśnie takie jest zamierzenie.

    • It’s not a bug, it’s a feature ! :D

  5. Good feature ;))))))

  6. A mnie rozbawił fakt, że na obu screenach maile u góry (zalogowane konto) są częściowo zamazane – ale już te same adresy przy wiadomościach widnieją w całej okazałości.

    • Właśnie miałem o tym napisać. Paint Ci nie służy Unknow ;p

  7. Przy zmianie hasła brak monitu o poprzednie, super!

  8. Chyba lepiej logować się do Tablicy przez Facebooka. Tablica generalnie jest traktowana jako darmowy portal ogłoszeniowy, więc i zabezpieczenia nie są zbyt mocne. Równie dobrze można w czyimś imieniu wystawić ogłoszenie o sprzedazy jego samochodu w celu zrobienia temu komuś na złość w serwisie ogłoszeniowym nie wymagającym żadnego logowania. Na całe szczęście Tablica nie jest zintegrowana z Allegro. Nic dziwnego ma go tylko uzupełniać, bo niektóre rzeczy łatwiej sprzedać face to face i wtedy lepsze są tradycyjne ogłoszenia (z założenia Tablica ma służyć do wystawiania i przeglądania ogłoszeń lokalnych). Jednak z uwagi na przynależność do Grupy Allegro nie zaszkodzi dbałość o zabezpieczenia, bo błąd w jednym z serwisów w jakimś stopniu rzutuje na zaufanie do Allegro.

    PS
    Kiedy będzie podwójna autentyfikacja w Allegro?

  9. Tablica to czysty plagiat Francuskiej strony leboncoin.fr http://www.leboncoin.fr/annonces/offres/ile_de_france/ http://tablica.pl/mazowieckie/ Szerlok byl bardziej orginalny.

  10. Chyba wszyscy komentujący zapomnieli o jednej rzeczy. Najczęściej na tablicę trafiają użyszkodnicy właśnie z alledrogo, skusi ich brak opłaty. Jeżeli postanowią coś tam wystawić to hasło jakie sobie ustalą w tablicy będzie zapewne “dla ułatwienia” takie samo jak w alledrogo…

  11. A co ciekawe wystarczy dodać ogłoszenie na tablicy.pl, kliknąć w link aktywujący i przy kolejnym odwiedzeniu tego portalu okazuje się, że mamy założone konto! U góry ekranu widnieje Witaj (adres e-mail)… A gdy chce się usunąć konto pojawia się napis, że wraz z usunięciem konta, usuwamy treść naszego ogłoszenia i wszystkie udzielone odpowiedzi. Chyba ktoś powinien o tym informować…

Odpowiadasz na komentarz Marcin Maziarz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.