Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kupce

Kupovanje spolnih pripomočkov v tim. “sex shopih” je povezano z določeno družbeno stigmo. Ljudem je praviloma neprijetno stopiti v fizično trgovino in kupiti enega izmed bolj ali manj eksplicitnih artiklov. Po drugi strani pa lahko nakup kakršnega koli izdelka iz omenjene kategorije povsem enostavno in praviloma tudi bolj anonimno opravimo preko spleta. Klik ali dva in čez nekaj dni nam poštar v nevpadljivi embalaži dostavi naročeni izdelek na dom.

Ostanejo pa digitalne sledi. Ime in priimek kupca, njegov naslov (za dostavo), kontaktni podatki (telefonska številka, e-naslov) in bančna transakcija. Ter seveda kaj je oseba kupila in kdaj. In ti podatki so občutljivi.

sex-trgovina.si

Anonimni vir nas je pretekli teden opozoril na dve spletni strani (sex-trgovina.si in portia-erotica.com), ki obe uporabljata isto platformo (Wordpress), predvsem pa sta imeli obe enako napako v zasnovi spletne trgovine. Obe spletni strani sta namreč poleg nakupa omogočali tudi registracijo uporabnikov, kar sta sporočali z dobro vidnim gumbom:

V spletni trgovini smo si lahko ustvarili uporabniški račun

Po opravljeni registraciji pa se je zgodilo nekaj... nenavadnega.

Prijava na portal...

Takoj po prijavi na portal, se je namreč na vrhu spletne strani samodejno pojavila Wordpressova administratorska vrstica za dostop do Wordpress nadzorne plošče. Naj dodamo, da za registracijo celo ni bilo potrebno vpisati veljavnega e-poštnega naslova:

Stran je prikazala administratorsko vrstico za dostop do Wordpress nadzorne plošče.

V nadzorni plošči je bilo z nekaj klikanja moč najti dodatek WooCommerce v katerem je bilo mogoče pregledovati naročila in osebne podatke kupcev. Videti je bilo mogoče imena in naslove kupcev, kontaktne podatke (telefon, e-naslov) in seveda katere artikle so kupili, kdaj in po kakšni ceni.

Spletišče je razkrilo osebne podatke kupcev.

Glede na to, da je spletišče omogočalo administratorski dostop, bi se verjetno dalo spreminjati tudi nabor artiklov in predvsem njihove cene. Zlonamerni napadalec bi si lahko na tak način omislil celo kakšen popust...

portia-erotica.com

Enaka pomanjkljivost je bila tudi najdena na spletni trgovini portia-erotica.com. Potrebna je bila samo registracija in prijava v spletno trgovino ...

Najprej se je uporabnik registriral in prijavil:

Prijava na portal...

... in je že bilo mogoče pregledovanje naročil ...

Pregled naročil...

... ki so razkrivala tudi osebne podatke kupcev:

Primer naročila.

Ob tem je potrebno poudariti, da ni govora o vdiranju v sisteme ali o varnostnih ranljivostih v programski kodi. Šlo je zgolj in izključno za napako pri nastavitvah Wordpressa, kar kaže na malomarnost izvajalca, ki je postavil spletno stran.

Informacije o varnostnem incidentu smo prejšnji teden posredovali Informacijskemu pooblaščencu in na SI-CERT. Iz SI-CERT-a so nam nato sporočili, da so upravljavca spletne trgovine o zadevi obvestili, nekaj dni po tem pa še, da jih je upravljavec spletne strani obvestil, da so napako odpravili. Od predvčerajšnjim prijava na omenjeni spletni strani ni več mogoča.