Poczta Onet pozwalała na pobranie zawartości dowolnego konta

27 lipca, 2021
Wylistowane ścieżki do danych użytkowników.

Prosty, ale poważny błąd w usłudze poczty Onetu odnalazł jeden z badaczy. Po zalogowaniu można było uzyskać dostęp do zawartości skrzynki pocztowej, kalendarzy, listy kontaktów i danych dowolnego użytkownika. Wystarczyło manipulować treścią paska adresu, zmieniając „identyfikator” klienta i wysyłając takie spreparowane żądanie:

https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F

Liczba po userdata jest powiązana z konkretnym użytkownikiem. W ten sposób uzyskiwano dostęp do listy tzw. bucketów, w tym przypadku archiwów ZIP zawierających wymienione wyżej dane.

Wylistowane ścieżki do danych użytkowników.
Wylistowane ścieżki do danych użytkowników.

Archiwa można było po prostu pobrać, serwer nie walidował w żaden sposób pochodzenia zapytań. Powinien zwrócić błąd 401 Unauthorized, uniemożliwiając dostęp do zbiorów pozostałych użytkowników.

Tematyka zabezpieczeń serwerów poczty to obszerny temat i prawdopodobne nie istnieją uniwersalne zasady. Przede wszystkim warto zapoznać się z tym raportemporadami. Dla niektórych użytkowników skrzynka pocztowa to miejsce do przechowywania prywatnych plików, których ujawnienie może poważnie zaszkodzić. Jeszcze gorzej jest w przypadku firm, zwłaszcza tych mniejszych, które zamiast dedykowanej firmowej poczty używają usług publicznych dostawców.

Koszt własnej domeny i serwera pocztowego nie jest duży. To rozwiązanie zdecydowanie bardziej bezpieczne, bo pozostaje pod kontrolą właściciela, a w dodatku wygląda to profesjonalnie, gdy klienci piszą zapytania do kontakt@twoja_domena.pl niż [email protected]. Często też otrzymujemy w pakiecie domenę, hosting i pocztę. Koszty są dużo niższe w porównaniu do ewentualnego wycieku. Należy tylko wybrać dostawcę, który ma stabilną pozycję rynkową.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Michał Giza

Michał Giza

Administrator systemów Linux i Windows Server. Konfiguruje serwery WWW, bazy danych i inne usługi sieciowe. Wykonuje i automatyzuje wdrożenia aplikacji internetowych.
Picture of Michał Giza

Michał Giza

Administrator systemów Linux i Windows Server. Konfiguruje serwery WWW, bazy danych i inne usługi sieciowe. Wykonuje i automatyzuje wdrożenia aplikacji internetowych.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]