Red is Bad: to mógł być cyberatak

Popularny wśród miłośników tzw. odzieży patriotycznej i tożsamościowej sklep internetowy miał sytuację kryzysową. Bez autoryzacji można było poznać dane, które nie powinny pojawić się publicznie.

Serwis z ubraniami i gadżetami, odwołującymi się do polskich symboli narodowych, historii, nacjonalizmu oraz retoryki antyunijnej, udostępnił część swoich wewnętrznych informacji handlowych. Użytkownicy facebookowej grupy miłośników języka programowania PHP podali, że w sieci jest dostępna deweloperska wersja sklepu. Sprawę zgłoszono właścicielom witryny.

Upubliczniony przypadkiem interfejs deweloperski sklepu (fot. Zaufana Trzecia Strona)

Internauci szybko znaleźli kolejne błędy. Jednym z nich był swobodny dostęp do listy klientów – ponieważ nie wymagano autoryzacji dla wywołań API strony. W efekcie na: https://www.redisbad.pl/api/client/list – było widać dane klientów sklepu, wraz z adresami mailowymi i fizycznymi, imionami i nazwiskami, numerami telefonów oraz listami zamówień. Możliwe było także dodawanie i kasowanie wpisów w bazie. Także bez autoryzacji.

W tej chwili podana strona zgłasza już: {„message”:”Authentication credentials could not be found.”}

Lista klientów była przez około godziny dostępna publicznie (fot. Zaufana Trzecia Strona)

Skąd wziął się problem? Być może właściciele sklepu nie wyłączyli adresu na czas wprowadzania poprawek, co spowodowało szeroki dostęp do danych. Choć firma sugeruje inny scenariusz. Zajmujący się kwestiami zabezpieczeń sieciowych serwis Zaufana Trzecia Strona poprosił Red is Bad o wyjaśnienia. Sklep odpowiedział:

– Około godziny 12:30 (wtorek, 25.VII – CHIP) dowiedzieliśmy się o istnieniu błędów, związanych z bezpieczeństwem naszego sklepu internetowego. Nieupoważnione osoby, znające niektóre linki, związane z techniczną obsługą sklepu, mogły uzyskać dostęp do danych widocznych tylko dla obsługi serwisu. Informacje niezwłocznie przekazaliśmy firmie, odpowiadającej za obsługę techniczną, która usunęła błędy. Nie można wykluczyć możliwości przeprowadzenia spersonalizowanego cyberataku na nasz sklep internetowy. Obecnie prowadzona jest analiza przez niezależnych ekspertów zewnętrznych, zmierzająca do ustalenia dokładnego przebiegu wydarzeń i ich możliwych skutków dla bezpieczeństwa danych naszych Klientów oraz firmy. Dalsze informacje będziemy przekazywać niezwłocznie, gdy tylko będzie to możliwe. Jednocześnie pragniemy Państwa zapewnić, że bezpieczeństwo naszych Klientów, w tym ich danych osobowych jest dla nas priorytetem, a wyniki przeprowadzonej analizy incydentu zostaną wykorzystane do dalszego doskonalenia środków bezpieczeństwa – deklaruje w oświadczeniu Red is Bad.

Sklep Red is Bad ma także całkiem znanych klientów (fot. gazeta.pl)

Należy pochwalić sklep za szybką reakcję, bo w ciągu niecałej godziny problem został rozwiązany. Czy był efektem błędu administratora, czy, jak przekonuje firma, cyberatakiem? Trudno w tej chwili rozstrzygnąć. | CHIP

0
Źródło: zaufanatrzecistrona
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.