10:53
19/9/2011

Zła passa Grupy Allegro chyba trwa. Najpierw kilkugodzinna awaria w serwerowni, potem wyciek danych z serwisu BuyVIP (obecnie Markafoni), a teraz błąd programistyczny pozwalający przejąć kontrolę nad kontami użytkowników serwisu Tablica.pl.

Tablica.pl i przejęcie konta użytkownika

Tablica.pl to serwis z ogłoszeniami, wcześniej znany jako Szerlok.pl. Najpierw należał do właścicieli Wykop.pl, teraz jest własnością Grupy Allegro.

O błędzie w Tablica.pl poinformował nas czytelnik Xandersky. Zauważył on, że jeśli użytkownik serwisu odpisze na przesłaną mu wiadomość, to w treści odpowiedzi, która przychodzi jako e-mail pojawia się link, który po kliknięciu automatycznie loguje nas na konto naszego rozmówcy.

tablica.pl

Tablica.pl - powiadomienie e-mailem o nowej odpowiedzi zawiera link automatycznie logujący do konta naszego rozmówcy

Wysłanie pierwszej wiadomości. Link, który przychodzi, poprawnie loguje nas na nasze własne konto:

Tablica.pl błąd pozwalający na przejęcie konta

Tablica.pl - zalogowany jako użytkownik A.

Jeśli właściciel ogłoszenia odpowie na naszą wiadomość, system nieprawidłowo generuje link, który po kliknięciu automatycznie daje nam dostęp do konta właściciela ogłoszenia:

tablica.pl błąd umożliwiający przejęcie konta

Tablica.pl - zalogowany jako właściciel ogłoszenia (użytkownik B)

Z kontem właściciela ogłoszenia można było zrobić wszystko — od zmiany e-maila, poprzez zmianę hasła (system nie wymaga podania poprzedniego), aż do usunięcia konta (wystarczy wcisnąć przycisk usuń konto), czy podejrzenia lub podmiany danych kontaktowych.

Tablica.pl

Tablica.pl - zmiana hasła, wystarczy podać nowe, żeby odciąć użytkownika od jego konta.

Błąd poważny, ale czy straszny?

Dla potencjalnego atakującego przejęcie czyjegoś konta na Tablica.pl nie będzie wielkim łupem — nic poza adresami e-mail, numerami GG czy Skype tam nie znajdziemy. Złośliwy atakujący mogłby jednak pokusić się o modyfikację treści lub skasowanie aukcji albo inne dowcipy (czy dałoby radę przechwycić zakupiony przedmiot?).

Tomasz Drożdżyński z serwisu Tablica.pl szybko odpowiedział na przesłane do serwisu pytania:

Czy uważacie Państwo w/w mechanizm komunikacji jako poprawny?
Sam mechanizm, w którym kliknięcie linka powoduje automatyczne zalogowanie, jest w naszej ocenie jak najbardziej poprawny. Ponieważ Tablica.pl nie bierze udziału w transakcjach, nie przechowuje wrażliwych danych, a nieuprawniony dostęp nie może wyrządzić żadnych szkód, postawiliśmy na absolutną prostotę i nie zachęcamy użytkowników do rejestrowania konta oraz zapamiętywania hasła. Swoje konto można obsługiwać poprzez kliknięcie linka w mailu.
Nie powinna jednak zdarzyć się sytuacja, że kliknięcie w link loguje nas na konto kogoś innego, to oczywiście błąd, za który przepraszamy.

Kiedy błąd zostanie poprawiony?
Błąd został naprawiony dziś przed południem [dziś == 14.09.2011 — dop. red. Artykuł publikujemy z opóźnieniem].

Jakie akcje w systemie może wykonać osoba, która wejdzie za pomocą w/w linków na nie swoje konto?
Może usunąć ogłoszenie, zmienić opis lub wystawić nowe. Można też zobaczyć odpowiedzi innych użytkowników na dane ogłoszenie. Żadna z tych czynności nie wiąże się z poważnymi konsekwencjami, natomiast błąd o którym mówimy, mógłby posłużyć do zrobienia komuś dowcipu.

Od jak dawna ten błąd istniał w systemie?
Błąd istniał od 13 września od godziny 14:00.

Sam błąd, który umożliwiał przejęcie konta użytkownika na Tablica.pl należy zaliczyć do zwykłych pomyłek programistycznych. Jednakże, w obliczu tego błędu warto przypomnieć to, o czym mówimy na naszych szkoleniach z bezpieczeństwa webaplikacji — przesyłanie tokenów sesyjnych w URL-ach może i ułatwia logowanie do serwisu, ale pod kątem bezpieczeństwa nie jest dobrym pomysłem (hint: ujawnienie tokenu np. poprzez nagłówek Referer, ułatwienie ataków typu Session Fixation). Warto również kolejny raz wspomnieć o dodatku Firesheep do Firefoksa, jeśli ktoś uważa, że brak szyfrowania połączeń w przypadku tokenów sesyjnych to dobry pomysł…

Na koniec warto zauważyć, że nie “niebezpieczny” sposób przesyłania tokenu był dla Tablica.pl głównym problemem, a to, że na skutek pomyłki programisty linki z tokenami sesyjnymi trafiały do złych osób.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. Zdaje mi się, czy gość odpowiadający na pytania Niebezpiecznika ‘delikatnie’ zbagatelizował sprawę ?
    Możliwość przejęcia konta, skasowania go lub wykorzystania do zrobienia ‘przekrętu’ to wg. niego dowcip ? No to ja gratuluję poczucia humoru i dobrego samopoczucia ;)

    • To raczej ty stawiasz sprawę w zbyt poważnym świetle :)

    • hehe, nie dosc ze goscie z wykopu || szerloka || tablica zbagatelizowali blad, to jeszcze panicznie reaguja i chronia swoj wizerunek zakopujac znalezisko na temat tego wpisu na wykopie, LOL!!!

      http://www.wykop.pl/link/zakopali/882435/powazny-blad-w-tablica-pl-wczesniej-szerlok-pl/

      Grunt to obiektywizm panie Kiner! :]

    • @lopata
      a to dranie! Chyba czas zaczac sezon na bughunting w serwisach okolo wykopowych i rozpedzic to TWA ;\]

    • @Mariusz – ciekawe czy tak samo by się tłumaczyli, gdyby błąd dotyczył konta na Allegro ;)
      Też by powiedzieli, że to można tylko do żartu wykorzystać ?

      Ja bym chętnie temu zrobił ‘żart’ kupując parę drobiazgów za kilkadziesiąt tysięcy i na dokładkę sprzedając kilka. Ciekawe czy też by się śmiał wtedy ;)

  2. ciekawe czy przy przejęciu w taki sposób konta administratora nie można było zrobić większego kuku

  3. I znów strona grupy allegro…

  4. Tablica.pl jest fajna, ale stosuje czasami dość ciekawą logikę. Odkryłem kiedyś, że po zapisaniu ogłoszenia na swoim koncie w serwisie nie zostanie ono znalezione po zalogowaniu na konto z innego komputera. Zgłosiłem jako błąd, że dane te trzymane są w cookies, i dostałem odpowiedź, że.. właśnie takie jest zamierzenie.

    • It’s not a bug, it’s a feature ! :D

  5. Good feature ;))))))

  6. A mnie rozbawił fakt, że na obu screenach maile u góry (zalogowane konto) są częściowo zamazane – ale już te same adresy przy wiadomościach widnieją w całej okazałości.

    • Właśnie miałem o tym napisać. Paint Ci nie służy Unknow ;p

  7. Przy zmianie hasła brak monitu o poprzednie, super!

  8. Chyba lepiej logować się do Tablicy przez Facebooka. Tablica generalnie jest traktowana jako darmowy portal ogłoszeniowy, więc i zabezpieczenia nie są zbyt mocne. Równie dobrze można w czyimś imieniu wystawić ogłoszenie o sprzedazy jego samochodu w celu zrobienia temu komuś na złość w serwisie ogłoszeniowym nie wymagającym żadnego logowania. Na całe szczęście Tablica nie jest zintegrowana z Allegro. Nic dziwnego ma go tylko uzupełniać, bo niektóre rzeczy łatwiej sprzedać face to face i wtedy lepsze są tradycyjne ogłoszenia (z założenia Tablica ma służyć do wystawiania i przeglądania ogłoszeń lokalnych). Jednak z uwagi na przynależność do Grupy Allegro nie zaszkodzi dbałość o zabezpieczenia, bo błąd w jednym z serwisów w jakimś stopniu rzutuje na zaufanie do Allegro.

    PS
    Kiedy będzie podwójna autentyfikacja w Allegro?

  9. Tablica to czysty plagiat Francuskiej strony leboncoin.fr http://www.leboncoin.fr/annonces/offres/ile_de_france/ http://tablica.pl/mazowieckie/ Szerlok byl bardziej orginalny.

  10. Chyba wszyscy komentujący zapomnieli o jednej rzeczy. Najczęściej na tablicę trafiają użyszkodnicy właśnie z alledrogo, skusi ich brak opłaty. Jeżeli postanowią coś tam wystawić to hasło jakie sobie ustalą w tablicy będzie zapewne “dla ułatwienia” takie samo jak w alledrogo…

  11. A co ciekawe wystarczy dodać ogłoszenie na tablicy.pl, kliknąć w link aktywujący i przy kolejnym odwiedzeniu tego portalu okazuje się, że mamy założone konto! U góry ekranu widnieje Witaj (adres e-mail)… A gdy chce się usunąć konto pojawia się napis, że wraz z usunięciem konta, usuwamy treść naszego ogłoszenia i wszystkie udzielone odpowiedzi. Chyba ktoś powinien o tym informować…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: