Poczta Onet pozwalała na pobranie zawartości dowolnego konta

27 lipca, 2021

Prosty, ale poważny błąd w usłudze poczty Onetu odnalazł jeden z badaczy. Po zalogowaniu można było uzyskać dostęp do zawartości skrzynki pocztowej, kalendarzy, listy kontaktów i danych dowolnego użytkownika. Wystarczyło manipulować treścią paska adresu, zmieniając „identyfikator” klienta i wysyłając takie spreparowane żądanie:

https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F

Liczba po userdata jest powiązana z konkretnym użytkownikiem. W ten sposób uzyskiwano dostęp do listy tzw. bucketów, w tym przypadku archiwów ZIP zawierających wymienione wyżej dane.

Wylistowane ścieżki do danych użytkowników.
Wylistowane ścieżki do danych użytkowników.

Archiwa można było po prostu pobrać, serwer nie walidował w żaden sposób pochodzenia zapytań. Powinien zwrócić błąd 401 Unauthorized, uniemożliwiając dostęp do zbiorów pozostałych użytkowników.

Tematyka zabezpieczeń serwerów poczty to obszerny temat i prawdopodobne nie istnieją uniwersalne zasady. Przede wszystkim warto zapoznać się z tym raportemporadami. Dla niektórych użytkowników skrzynka pocztowa to miejsce do przechowywania prywatnych plików, których ujawnienie może poważnie zaszkodzić. Jeszcze gorzej jest w przypadku firm, zwłaszcza tych mniejszych, które zamiast dedykowanej firmowej poczty używają usług publicznych dostawców.

Koszt własnej domeny i serwera pocztowego nie jest duży. To rozwiązanie zdecydowanie bardziej bezpieczne, bo pozostaje pod kontrolą właściciela, a w dodatku wygląda to profesjonalnie, gdy klienci piszą zapytania do kontakt@twoja_domena.pl niż [email protected]. Często też otrzymujemy w pakiecie domenę, hosting i pocztę. Koszty są dużo niższe w porównaniu do ewentualnego wycieku. Należy tylko wybrać dostawcę, który ma stabilną pozycję rynkową.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Michał Giza

Michał Giza

Administrator systemów Linux i Windows Server. Konfiguruje serwery WWW, bazy danych i inne usługi sieciowe. Wykonuje i automatyzuje wdrożenia aplikacji internetowych.
Picture of Michał Giza

Michał Giza

Administrator systemów Linux i Windows Server. Konfiguruje serwery WWW, bazy danych i inne usługi sieciowe. Wykonuje i automatyzuje wdrożenia aplikacji internetowych.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

[ninja_tables id=”27481″]