Varnost nekaterih spletnih trgovin

Hja, jaz ponavadi obvestim za nepravilnosti, ki jih opazim. Nasploh bi bilo pozitivno, saj se izboljša varnost. Pa za Verisign :)

Iskalnik najdi.si res vsebuje nekaj povezav, ki kažejo v www.enaa.com in sicer direktno v račun nekega uporabnika. Vendar pa najdi.si takih povezav ne more izbrskati sam z indeksiranjem trgovine www.enaa.com. Tako povezavo mu je najverjetneje nekdo vnesel ročno. Najbrž po pomoti. Morda je omenjeni uporabnik na kakšnem forumu objavil povezavo na kakšen zanimiv izdelek in iz URL-ja ni odstranil svojega ID-ja. Morda je kupoval v www.enaa.com iz javnega računalnika in se po nakupovanju ni odjavil. V tem primeru bi lahko v njegov račun prišel tisti, ki bi računalnik uporabljal za njim. V vsakem primeru je www.enaa.com za varnost poskrbljeno in se ob pravilnem ravnanju uporabnikov kakšni roboti iskalnikov ne morejo dokopati do občutljivih podatkov.

Sašo Bradač
enaA Team

verjetno preko najdi.si orodne vrstice, ki podobno kot googlebar belezi obisk strani uporabnika in se tako tudi "skriti" spletni naslovi znajdejo v iskalnikih.

bojte se "spyware-a".

Verjetno je enaa.com dobila podatek o tebi preko piskotof (cookies), ker kot sam pravis si tisto stran ze obiskal in celo opravil nakupe na njej.

A te spusti "not" tudi ce pobrises piskote ?

Sej ne more biti taka varnost halo. Pa daš enem link pa ma vstop v tvoj račun. Čeprav se ne spovnem točno, ampak mogoče moreš pa še pred nakupom potrdit s kodo. Ampak že to je dovolj. To sem že sam ugotovu.

Za kao varno spletno trgovino je to sux.

Meni se je tudi zgodilo podobno. Ko sem na Najdi.si iskal info o zvočnikih. Pa mi je vrglo Enaa stran s pozdravom uporabnici Štefka Novak(kao da se spomnim:)). In pogledam v voziček in notri ždijo eni zvočniki. Pa ne tisti ki sem jih jaz iskal, temveč kar eni X. Sem pomislil, da bi si poslal darilo(račun pa njej), pa sem si premislil.

Sem se pa tudi zamislil, saj sem že kupoval na enaa.

V vsakem primeru je www.enaa.com za varnost poskrbljeno in se ob pravilnem ravnanju uporabnikov...

Samo ob poznavanju URL pa lahko pride do zlorabe računa???

Ne bi se strinjal

Ja, Najdi.si vrstica je SpyWare.

Jaz sem testiral malo na Najdi.si in sedaj me prepozna kot: Silvestra Drešar
Sem prišel do osebnih podatkov brez problemov.

En quote iz sekcije 'Vaša zasebnost':

Varnost

Na naših spletnih straneh uporabljamo več varnostno - zaščitnih sistemov, ki zagotavljajo ustrezno zaščito pred izgubo, neželjenim spreminjanjem ali zlorabo podatkov.

Sramota za tako resno trgovino.

In kako boste prišli do maila, ki je potreben, da se opravi nakup? Mail se avtomatsko pošlje ko kliknete naročilo in noter je link za storniranje naročila. Identična zadeva kot če bi se prijavil s tujim imenom v internetno trgovino in potem bljuzil, da ni secure. Samo proces postopka registracije novega b2c kupca so vam prihranili.

Zdejle si grem pa mx1000 kupit v enaa.com potem pa še ostali vabljeni na moj account Najbolj izvirnega izdelka ne bom storniral.


Napiši novico:

ŠOKANTNO (tu se lahko zgleduješ po Slovenskih Novicah), če opravim nakup v imenu druge osebe ne bom dobil nič po pošti, ker bo moje naročilo storniral z 1 klikom pravi uporabnik. Če pa sem dovolj trapast bom vpisal pa še moj domači naslov ali p.p. da me zaradi zlorabe podatkov pohopsa policija.

BTW na slo-techovem forumu je en kup takih linkov, samo so očitno acc že potekli.

JEs to je ta. Silvestra Drešar. Pa ene zvočnike ima v vozičku in s.p. je.

Fenomenalno. Sam še številke kreditnih kartic bi morali imeti noter pa bi bil danes malo bogatejši.

OK, še mojih 5 centov...

Stvar je taka, da avtentikacija preko URLja (z npr. id=xxxxx) ni varna. NI VARNA.

Zakaj?

A) Ker lahko nekdo po pomoti URL vpiše na kakšen forum (napaka uporabnika, ki je pogosto neuk).
B) Ker lahko tak URL ulovijo "lovilci" URLjev (Google Toolbar, Najdi.si toolbar)
C) Ker je tak URL mogoče ugotoviti.

Tipičen primer je spletna trgovina (ne bom povedal katera), kamor so lansko leto "vdrli" neki hekerji.

Trgovci so imeli tim. administratorske strani, kamor je bil mogoč dostop z geslom. Seveda pa si geslo rabil le za preusmeritev. Ko si enkrat vedel URL, se je dalo brskati po bazi naročnikov z vsemi osebnimi podatki in nakupi vred.

S preprosto zanko in wgetom bi lahko potegnil celotno njihovo bazo ven.

Če se isto dogaja z Enaa, je pa sramota. In če je gor naveden njihov uradni odgovor, je sramota še toliko večja.

Pohvalno da so zrihtali... ampak da je deadalus to napisal na forum je pa čisto prav. Da tudi ostali izvemo kako in kaj.

Ker če so ga (res) polomili enkrat, so izgubili moje zaupanje.

Ja no, sej imajo še kakšno stranko, ki ne ve za spodrsljal. Tisti ki pa vedo se bodo pa zamislili, če se splača kupovat in s tem raskirat?

Lahko bi pa bil kakšen reply z njihove strani. Kot je rekel Daedalus, saj se njim dela škoda ne nam.

Dogajanje na slo-tech forumu redno spremljamo, tako smo Deadalusovo obvestilo predali našemu varnostnemu inženirju že eno uro po prvi objavi ter približno štiri ure kasneje dali tudi prvi odgovor na slo-tech forum, vmes pa preprečili dostop preko objavljene identitete enega izmed kupcev. Preverili smo tudi vse nadalnje navedbe na slo-tech in ugotovili, da je do objave identitete dejansko prišlo v treh primerih, pri čemer je le to vedno preko objave na kakšnem forumu ali blogu posredoval uporabnik sam. Podatki tako niso bili objavljeni kot posledica vdora v našo bazo podatkov.

Zavedamo se, da je varovanje zasebnosti naših kupcev naša odgovornost ter da moramo zagotoviti okolje, kjer ne bo nihče kakorkoli ogrožen niti zaradi lastne nepazljivosti ali napake. Vse morebitne stroške zaradi tega bo krila enaA.com. Pomankljivost o kateri je v tem forumu tekla beseda bomo v naslednjih dneh odpravili. Vsem udeleženim v forumu pa se zahvaljujemo za mnenja in ocene ter pomoč, ki so nam jo s sodelovanjem v forumu zagotovili pri razvoju še varnejše enaA.com. Z vašo pomočjo bomo naredili še en velik korak naprej.


Aljoša Domijan

enaA team

Takojsnja objava varnostne luknje (pa najsibo v softveru ali kaksni web strani) na javnem forumu je neodgovorna. Ce si security researcher (izven Slovenije je recimo kar nekaj podjetij, ki se ukvarjajo z varnostjo, ki imajo mocne research oddelke), potem o odkriti luknji najprej obvestis tistega, ki skrbi za program oz. v tem primeru web stran. Javna objava pa sledi ko je luknja pokrpana in je ne more vec izkoristit noben nepridiprav oz. v primeru, da po dolocenem casu ni reakcije od upravljalca strani oz. cloveka ali ekipe, ki vzdrzuje program.

Na ta nacin je najverjetneje manj moznosti, da bo zaradi dolocene ranljivosti kdo oskodovan (razen seveda ce imas dokaze, da nekdo ranljivost ze izkorisca). In ravno tako se lahko hvalis, da si luknjo odkril ti :-)

Google najde na temo recimo tole: CERT

@b - nisem security researcher in od tega, da sem kao odkril varnostno luknjo v spletni trgovini enaa nimam nič. Če si pazljivo prebral moje poste, ti je lahko ratalo jasno, da se s svojim "dosežkom" ne hvalim. Kdo pa skrbi za program, pa ne vem. Nikjer na strani ni linka do reklamacij za varnost. Objavil sem pa zato vse skup na forumu, ker vem, da ga berejo tudi ljudje, ki so odgovorni za varnost na enaa. In tudi zato, da opozorim uporabnike foruma na možne napake, ki jim lahko škodujejo.

Zigga - točno tako.

Čeprav ima b zelo pomemben point.

Načeloma bi bilo najbolje narediti takole:
- narediš screenschoote in si zapišeš postopek;
- po mailu pošlješ obvestilo lastniku trgovine in ga pokličeš še po telefonu;
- se dogovoriš za nek razumen rok, oz. jih prosiš, da te obvestijo, ko bodo popravili;
- objaviš novico na Slo-Techu :-)

Ja, gre za dilemo, ki nastane, če podjetje ne reagira dovolj hitro, ali pa če sploh ne reagira.

Recimo.. podjetje obvestiš o varnostni luknji, vendar se jim ne zdi vredno pkrpati jo. Vmes to odkrijejo že hekerji in veselo izrabljajo.

Če greš sedaj s tem v javnost, bo podjetje morda prisiljeno pokrpati luknjo.

To zna biti resna dilema. Čeprav se mi zdi, da je takih podjetij čedalje manj.

b mislm od kje ti ta ideja.

Sem popolnoma preprican, da jih je ze kdo opozoril ali so celo sami vedeli za tezavo.

In kaj so naredili? Tocno to. NIC!

Saj pri nas (verjetno tut drugje) je verjetno le moc javnega dostopa do informacij tista, ki premakne kaksen 'velik' stroj.

Tole pisem iz lastnih izkusenj. Imel sem en nesrecen primer z nekim cheep routerjem (postal na ST). Nekaj casa smo si izmenjevali maile potem si telefonarili, nakar sem po 300-tih brezveze prevozenih kilometrih zadevo uspel zamenjat.
Izdelek se naprej veselo prodajali ceprav so imeli vsi tezave z njim!!!

cryptozaver: mene cisto malo briga, kaj si ti preprican. Bolj je pomembno, ce lahko svoje mnenje potrdis s kaksnim faktom. In glede na to, da mesas ranljivost njihove strani in problem z robo, ki si jo kupil pri tej stacuni, ne verjamem prevec v tvojo razsodnost in moznost zapazanja relevantnih dejstev.

Daedalus: glej, vsaka trgovina mora imet kontakt na strani, tak ali drugacen. Pa magari telefon, ce ne gre drugace.

Ce te ne jemljejo resno, zavlacujejo ipd. potem jasno zadevo objavis. Ampak _vsakdo_ si zasluzi vsaj nekaj malega vnaprejsnjega obvestila. Prvi odgovor s strani trgovine v tej temi pa ni ravno biser PR-a, ceprav se trudi :-)

Disclaimer: z omenjeno trgovino nimam nobene povezave, nikoli nisem kupoval pri njih in najverjetneje nikoli ne bom. Kar pisem je moje splosno mnenje o temi.

b

sicer nisem eksplicitno tega napisal, ampak nadaljeval sem zgodbo o tem, ali publicirati opazeno napako ali ne. Ocitno se nekateri na diskretna opozorila ne zganejo. Moj primer je lep dokaz za to. S tega vidika podpiram idejo, naj se taksne in podobne zadeve objavijo.