AIN.UA » СтартапыУязвимость в сервисе «Покупон» может дать доступ к персональным данным пользователей (обновлено)
EN

Уязвимость в сервисе «Покупон» может дать доступ к персональным данным пользователей (обновлено)

1289
47

В популярном украинском сервисе коллективных покупок “Покупон” обнаружена довольно серьезная дыра в безопасности. Ссылка, которую получают пользователи в рассылке, позволяет любому желающему получить доступ к учетной записи изначального адресата.

В том случае, если отправить присланную в письме ссылку на акцию друзьям, они получат не просто информацию о новой акции, а сразу будут залогинены на сайте под логином получателя и смогут просматривать историю его покупок, редактировать профиль и т.п.

Например: http://pokupon.com.ua/node/20124?utm_source=directmail&utm_medium=mailing_list&utm_campaign=mail&alk=7beeaa93a857a062489541158f5d5360:264867

Служба поддержки сервиса была проинформирована о данной уязвимости еще в пятницу, но вместо того, чтобы исправить, начали рассказывать пользователю, что у него проблемы с cookies и кешем браузера.

Покупон – популярный украинский сервис коллективных покупок. Его пользователями, по неофициальной информации, являются более 750 тыс. человек.

Информацию подсказал Алексей Федоров через форму Поделиться новостью.

UPDATE:  AIN.UA получил официальный комментарий компании «Покупон» относительно введения автологина на сайте — комментирует ситуацию Александр Каган, операционный директор компании:

«Автологин создан исключительно для удобства пользователей. Он позволяет заходить в свой аккаунт, не вводя каждый раз логин и пароль, или вспоминать последний. Подобная практика очень популярна и используется многими сервисами и сайтами, как в мире, так и в Украине. Его практикуют: социальные сети, сайты коллективных скидок, интернет-магазины, сайты знакомств и т.д.

Ссылки, которые содержатся в рассылке, являются уникальными для каждого пользователя Покупона. Передавать их третьим лицам, как в принципе, личные данные и пароли, не рекомендуется.

Во избежание подобных недоразумений в нашей рассылке будет размещена информация об уникальности ссылок и о возможных последствиях передачи их третьим лицам».

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Смотреть комментарии

Комментарии | 47

  • У меня уже давно сложилось впечатление, что после ухода оттуда Вики Бондарь там стало всем все пофигу…

  • Данная проблема не является уязвимостью сайта. Функционал предназначен для облегчения
    работы с сайтом и для удобства пользователей. Каждая рассылка является индивидуальной,
    каждый пользователь получает личное письмо и уникальную ссылку. Проблема
    возникает только в том случае, если пользователь передает свою уникальную
    ссылку другому пользователю или пересылает письмо. Приносим свои извинения и
    просим не передавать уникальные ссылки из рассылки другим пользователям.
    Информацией об акции можно поделиться не используя персональную ссылку с автологином.

  • Сейчас тоже можно связаться с ПР и решить любые вопросы! 

  • Следующей шокирующей новостью будет что-то вроде «Обнаружена уязвимость в большинстве сайтов с авторизацией» и содержанием похожим на «Если пользователь передаст друзьям свои логин и пароль от сайта, то они смогут просматривать и редактировать его данные на сайте»?

    • Покажите, пожалуйста, еще хотя бы пару коммерческих сайтов, где хранятся личные данные пользователя, иногда проводящего финансовые операции, в которых авторизационные данные можно свернуть в урл

      • Мой Круг от Яндекса постоянно присылает письма, там ссылка по которой сразу можно авторизировать. Что в этом такого не понимаю… просто об этом нужно предупреждать как это делают они:
        Если Вы не хотите в дальнейшем получать новости, укажите это в настройках.
        Внимание! По ссылкам в этом письме можно зайти в Ваш профиль без ввода пароля.

  • Поддерживаю мнение Артура.
    Это исключительная уязвимость, закрыть которую не стоит труда.
    Адресовано представителям ПОКУПОНА: 
    Вам бесплатно! сообщают о потенциальной уязвимости, а вы вместо того чтобы поблагодарить человека и оперативно решить вопрос — начинаете говорить что «так и должно быть».
    Так вот, так быть не должно!

    • согласен и присоединяюсь к негодованию!
      как пользователь системы крайне взволнован и озабочен данной уязвимость и халатным обращение к пользователям 

  • Гм…. ну не вижу  в этом всем ничего особо страшного… боитесь дыр — не стоит оставлять данные или передавать такие ссылки. Хотите поделиться информацией с другом, для этого есть соц. сети… или же можно отправить обычный линк на предложение.

    Сама привыкла всеми акциями делиться через контакт и FB. Быстро, удобно и вопросов потом не возникает.

    Сервис то сам по себе довольно приличный, акции у них одни из лучших, а ошибаться может каждый )

    • Настя вы не совсем правильно поняли смысл уязвимости. А смысл ее в том что вы возьмете из письма ссылку на акцию, сбросите ее используя соц сети своим друзьям — а они «пройдя» по ссылке автоматически авторизуются в вашем аккаунте на покупоне.

  • AIN — место для разоблачения грехов конкурентов :))

  • Мне кажется, еще мамба авторизирует таким же способом — по токену урла
    благо, сообщение от мамбобота никто не шлет другу в почту потому как бессмыслена эта затея

    Если уж обсуждение уязвимости перешло в публичную стадию, то логичней было бы чтобы объяснился техдиректор Покупона, а не PR-служба

  • а и вот еще наверно уже все и так знают что нет возможности отписаться от рассылки предложений и удалить свой аккаунт на покупоне

    я так понимаю это можно решить только через фильтр на почте с помощу пометки как спам

    но вот как быть с личными данными в аке покупона? (такими как телефон, и.ф.о., год рождения и т.д.)

    или это тоже фичя и спам как само собой разумеющиеся у маркетинга должно быть??

  • Что надо сделать

    1. В письме указывать не полную ссылку, а кнопку или текстовый вариант ссылки «посмотреть акцию»

    2. При переходе по URL делать редирект на акцию без токена, токен регенениривать.

    3. Делать автологин только при совпадения id пользователя в Cookies и URL (защита от пересылки письма)

    4. Сообщить пользователям, что уязвимость исправлена

  • Пользуюсь покупоном и рычагом (http://rychag.com.ua) — тут тоже нельзя отписаться от рассылки 🙁
    нужно обязателььно переходить в профиль. Пора бы уже начать соблюдать какие-то правила приличия. Надо на аггрегаторы переходить.

  • Mylalym, самого уже достали эти рассылки:) Пришлось звонить в рычаг (http://rychag.com.ua) и просить их отписать меня!!! А сейчас уже слышал и самому можно отписаться…

Последние новости
09 дек
Смотреть все
  • Бизнес на госданных
  • Съемки на YouTube
  • ФОП для IT
  • Nimses
  • Бизнес в e-commerce
  • Продавать в интернете
  • Спецпроекты
  • Безопасность номера
  • Безпека гаманця
Реклама на AIN.UA

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: