SzukajSzukaj
dołącz do nasFacebookGoogleLinkedinTwitter

Błąd Onetu pozwalał pobrać maile i dane innych użytkowników

Poczta Onetu pozwalała na ściąganie danych innych użytkowników usługi (skrzynki pocztowe, kalendarze, książki adresowe). Po zgłoszeniu czytelnika serwisu błąd został usunięty.

(screen: Oferta.poczta.onet.pl)(screen: Oferta.poczta.onet.pl)

Pragnący zachować anonimowość czytelnik Zaufanatrzeciastrona.pl podesłał serwisowi opis błędu poczty Onetu, który pozwalał dowolnemu użytkownikowi usługi pobieranie poczty, kontaktów i danych innych użytkowników.

Dane można było pobierać dzięki funkcji pobierania kopii swoich danych. Po zalogowaniu użytkownik mógł wysłać do serwera żądanie, w odpowiedzi na które otrzymywał listę zawartości katalogu zawierającego pliki innych użytkowników (zarówno bieżące, jak i historyczne). Pliki można było następnie bez problemu pobrać.

„Nie powinno się to zdarzyć w poważnej firmie w stosunku do danych klientów”

„Nasz czytelnik odkrył jeden z najbardziej popularnych błędów bezpieczeństwa, czyli możliwość uzyskania nieautoryzowanego dostępu do katalogu z danymi klientów. Uzyskanie dostępu wymagało użycia sztuczki z dodatkowym kodowaniem znaków specjalnych, ale nie powinno się to zdarzyć w poważnej firmie w stosunku do danych klientów” - podkreśla w tekście naczelny Zaufanatrzeciastrona.pl Adam Haertle.

Czytaj też: Przed Pegasusem niełatwo się obronić, ale zwykli obywatele nie mają powodów do obaw

Onet usunął błąd po zgłoszeniu czytelnika. Zaufanatrzeciastrona.pl spytała portal, m.in. czy potwierdza istnienie błędu, ilu użytkowników mógł on dotyczyć i czy Onet powiadomi użytkowników, których skrzynki były narażone na ryzyko. „Podatność była do nas zgłoszona 30 czerwca, została przez nas potraktowana z najwyższym priorytetem i tego samego dnia została poprawiona. (…) Udało się ustalić, że podatność była wykorzystana tylko przez osobę zgłaszającą błąd” - odpowiedziała Agnieszka Skrzypek-Makowska z biura komunikacji Ringier Axel Springer Polska.

Zaufanatrzeciastrona.pl dodaje, że błąd prawdopodobnie mógł dotyczyć użytkowników, korzystających z funkcji eksportu poczty, kalendarza, książki adresowej lub danych użytkownika. Serwis radzi, by użytkownicy usług Onetu spytali portal, czy ich dane nie trafiły w niepowołane ręce. „Błędy zdarzają się wszystkim, ale możliwość pobrania cudzej skrzynki w 2021 r. nie brzmi jak rekomendacja do dalszego używania usług tego dostawcy” - dodaje Haertle.

Niedawno Onet wprowadził na swojej platformie pocztowej nową usługę o nazwie „Zweryfikowany Nadawca”. Ma ona umożliwiać większą kontrolę zabezpieczeń planowanych wysyłek oraz poprawić ich widoczność w skrzynkach mailowych.

Dołącz do dyskusji: Błąd Onetu pozwalał pobrać maile i dane innych użytkowników

2 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiekz postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl
User
Czy na niebezpieczniku będzie opisane?
odpowiedź
User
Kxp
Rozumiem, ze to była podatność umozliwajaca atak a nie standardowe działanie. W została szybko zalatana.
odpowiedź