Prosty, ale poważny błąd w usłudze poczty Onetu odnalazł jeden z badaczy. Po zalogowaniu można było uzyskać dostęp do zawartości skrzynki pocztowej, kalendarzy, listy kontaktów i danych dowolnego użytkownika. Wystarczyło manipulować treścią paska adresu, zmieniając „identyfikator” klienta i wysyłając takie spreparowane żądanie:
https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F
Liczba po userdata jest powiązana z konkretnym użytkownikiem. W ten sposób uzyskiwano dostęp do listy tzw. bucketów, w tym przypadku archiwów ZIP zawierających wymienione wyżej dane.
Archiwa można było po prostu pobrać, serwer nie walidował w żaden sposób pochodzenia zapytań. Powinien zwrócić błąd 401 Unauthorized, uniemożliwiając dostęp do zbiorów pozostałych użytkowników.
Tematyka zabezpieczeń serwerów poczty to obszerny temat i prawdopodobne nie istnieją uniwersalne zasady. Przede wszystkim warto zapoznać się z tym raportem i poradami. Dla niektórych użytkowników skrzynka pocztowa to miejsce do przechowywania prywatnych plików, których ujawnienie może poważnie zaszkodzić. Jeszcze gorzej jest w przypadku firm, zwłaszcza tych mniejszych, które zamiast dedykowanej firmowej poczty używają usług publicznych dostawców.
Koszt własnej domeny i serwera pocztowego nie jest duży. To rozwiązanie zdecydowanie bardziej bezpieczne, bo pozostaje pod kontrolą właściciela, a w dodatku wygląda to profesjonalnie, gdy klienci piszą zapytania do kontakt@twoja_domena.pl niż [email protected]. Często też otrzymujemy w pakiecie domenę, hosting i pocztę. Koszty są dużo niższe w porównaniu do ewentualnego wycieku. Należy tylko wybrać dostawcę, który ma stabilną pozycję rynkową.
