Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Piekļūst “Čili pica” klientu datiem, izmantojot XSS ievainojamību

Kategorija: Incidenti + Personas dati

chilli_pica_xss

Kas ir pirmā lieta, ko iztestē hakeris? SQL injekcijas. Šajā gadījumā – pret pamat-injekcijām Čili Picas lapai ir droša. Turpinām: otrā lieta? XSS. Džekpots. Tas bija vienkārši..

Šo drošības caurumu eksploitēt ir bērna spēlīte. Atliek tikai izveidot jaunu pasūtījumu ar slēptu kodu, kas atsūtītu man uz e-pastu menedžera (vai administratora) lietotāja cepumiņus. Kad tie ir iegūti – es varu tos uzlikt pats sev, jeb citiem vārdiem sakot – varu autorizēties kā šis cilvēks. Un kam tieši tad šiem menedžeriem ir pieeja? Nekam daudz.. tikai visiem pasūtījumiem no kaut kāda 2008 gada. Tātad klientu vārdiem/uzvārdiem, e-pastiem, telefoniem, adresēm, durvju kodiem, draugu kartes nummuriem, pasūtījumu summām utt.

Es neesmu ļaundaris. Šos datus (un veidu kā tos iegūt) es neesmu nopludinājis. Informācija par šo drošības caurumu tika nosūtīta Čili Picai. Šis drošības caurums varēja izmaksāt Čili picai diezgan skaistu naudas summiņu (ja dati tiktu nopludināti) kā arī sabiedrības (mēdiju) nosodījumu. Par šī cauruma atklāšanu es nesaņēmu pat ne vienkāršu “paldies” no Čili picas puses. Visa šī mēneša laikā bija sajūta, ka viņiem ir pilnībā vienalga par šo caurumu. Komunikācija bija briesmīga. Kauns, kauns..

Nav pirmā reize, kad noplūst dati par “Čili picas” klientiem.

Avoti:
Matīss Jānis Āboltiņš: http://blog.mja.lv/2014/07/21/ka-es-uzlauzu-cili-picu-un-ieguvu-piekluvi-20k-klientu-datiem/

2014-07-21  »  edgars

  1. Andron MacBeton
    22 July 2014 @ 14:18

    Tas naivais triperītis tiešām domāja ka tāda iestāde kā Čilli pica viņa ieteikumus nems vērā? :-D
    Viņš vel varētu izdomāt brīdināt Letu! Āksts.

  2. lol
    22 July 2014 @ 22:11

    Kā javascript exploits var nosūtīt cepumus uz e-pastu? :D

  3. Andron MacBeton
    23 July 2014 @ 02:55

    Zinot Čilli picas virtuvi – VAR.
    Ir tādi šedevri redzēti, tu iedomāties nevari. Čilli pica ir viena no tām iestādēm kur priekšniecībai nekas nepis, kamēr nāk nauda.

  4. BlackHalt
    23 July 2014 @ 09:25

    Bilde ir no iepriekšējās reizes.

    Es, iespējams, būtu darījis tā, ka nodumpotu visu DB un aizsūtītu DVI, bet internetā publiskotu DB ar “aizkrāsotiem” personu kodiem utml.

    Visur TOR, protams.

  5. noname
    13 August 2014 @ 14:21

    Nopietnos uzbrukumos TOR neko nedos ;)

  6. Anonymous
    14 August 2014 @ 12:15

    uzlieciet migliņu arī trešajai kolonai!!!

Re: Piekļūst “Čili pica” klientu datiem, izmantojot XSS ievainojamību







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>