Poczta Onet pozwalała na pobranie zawartości dowolnego konta

27 lipca, 2021

Prosty, ale poważny błąd w usłudze poczty Onetu odnalazł jeden z badaczy. Po zalogowaniu można było uzyskać dostęp do zawartości skrzynki pocztowej, kalendarzy, listy kontaktów i danych dowolnego użytkownika. Wystarczyło manipulować treścią paska adresu, zmieniając „identyfikator” klienta i wysyłając takie spreparowane żądanie:

https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F

Liczba po userdata jest powiązana z konkretnym użytkownikiem. W ten sposób uzyskiwano dostęp do listy tzw. bucketów, w tym przypadku archiwów ZIP zawierających wymienione wyżej dane.

Wylistowane ścieżki do danych użytkowników.
Wylistowane ścieżki do danych użytkowników.

Archiwa można było po prostu pobrać, serwer nie walidował w żaden sposób pochodzenia zapytań. Powinien zwrócić błąd 401 Unauthorized, uniemożliwiając dostęp do zbiorów pozostałych użytkowników.

Tematyka zabezpieczeń serwerów poczty to obszerny temat i prawdopodobne nie istnieją uniwersalne zasady. Przede wszystkim warto zapoznać się z tym raportemporadami. Dla niektórych użytkowników skrzynka pocztowa to miejsce do przechowywania prywatnych plików, których ujawnienie może poważnie zaszkodzić. Jeszcze gorzej jest w przypadku firm, zwłaszcza tych mniejszych, które zamiast dedykowanej firmowej poczty używają usług publicznych dostawców.

Koszt własnej domeny i serwera pocztowego nie jest duży. To rozwiązanie zdecydowanie bardziej bezpieczne, bo pozostaje pod kontrolą właściciela, a w dodatku wygląda to profesjonalnie, gdy klienci piszą zapytania do [email protected]_domena.pl niż [email protected]. Często też otrzymujemy w pakiecie domenę, hosting i pocztę. Koszty są dużo niższe w porównaniu do ewentualnego wycieku. Należy tylko wybrać dostawcę, który ma stabilną pozycję rynkową.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]