Уязвимость в сервисе «Покупон» может дать доступ к персональным данным пользователей (обновлено)
В популярном украинском сервисе коллективных покупок “Покупон” обнаружена довольно серьезная дыра в безопасности. Ссылка, которую получают пользователи в рассылке, позволяет любому желающему получить доступ к учетной записи изначального адресата.
В том случае, если отправить присланную в письме ссылку на акцию друзьям, они получат не просто информацию о новой акции, а сразу будут залогинены на сайте под логином получателя и смогут просматривать историю его покупок, редактировать профиль и т.п.
Служба поддержки сервиса была проинформирована о данной уязвимости еще в пятницу, но вместо того, чтобы исправить, начали рассказывать пользователю, что у него проблемы с cookies и кешем браузера.
Покупон – популярный украинский сервис коллективных покупок. Его пользователями, по неофициальной информации, являются более 750 тыс. человек.
Информацию подсказал Алексей Федоров через форму Поделиться новостью.
UPDATE: AIN.UA получил официальный комментарий компании «Покупон» относительно введения автологина на сайте — комментирует ситуацию Александр Каган, операционный директор компании:
«Автологин создан исключительно для удобства пользователей. Он позволяет заходить в свой аккаунт, не вводя каждый раз логин и пароль, или вспоминать последний. Подобная практика очень популярна и используется многими сервисами и сайтами, как в мире, так и в Украине. Его практикуют: социальные сети, сайты коллективных скидок, интернет-магазины, сайты знакомств и т.д.
Ссылки, которые содержатся в рассылке, являются уникальными для каждого пользователя Покупона. Передавать их третьим лицам, как в принципе, личные данные и пароли, не рекомендуется.
Во избежание подобных недоразумений в нашей рассылке будет размещена информация об уникальности ссылок и о возможных последствиях передачи их третьим лицам».
Комментарии | 47
У меня уже давно сложилось впечатление, что после ухода оттуда Вики Бондарь там стало всем все пофигу…
Віка Бондар була програмістом?
Она работала в ПР и с ней можно без вопросов связаться и решать вопросы практически любые.
Ну это тоже не нормально. Проблемы и вопросы должна решать служба поддержки, а у PR задачи другие. Но это уже к менеджменту скорее.
Ну, Артур… Я согласен, но хоть какие-то действенные методы были )))
Ну, Артур… Я согласен, но хоть какие-то действенные методы были )))
Кстати, тут же уже не программисты должны решать 🙂 Инфа попала в сеть для общего обозрения 🙂 Так что тут как раз ПР и включается пока программеры чинят 🙂 Ну или не чинят )))
Данная проблема не является уязвимостью сайта. Функционал предназначен для облегчения
работы с сайтом и для удобства пользователей. Каждая рассылка является индивидуальной,
каждый пользователь получает личное письмо и уникальную ссылку. Проблема
возникает только в том случае, если пользователь передает свою уникальную
ссылку другому пользователю или пересылает письмо. Приносим свои извинения и
просим не передавать уникальные ссылки из рассылки другим пользователям.
Информацией об акции можно поделиться не используя персональную ссылку с автологином.
Судя по абзацам, вы скопировали этот текст из блокнота или почтового клиента. Брр)
Вы это кому и зачем рассказываете? Рядовой пользователь постоянно пересылает ссылки друзьям и совсем не рассчитывает, что они увидят его историю покупок и смогут редактировать данные. Пришлите мне ссылку из Яндекса, я тоже получу доступ к вашему профайлу?
Т.е. дыра исправлена не будет? )
Леша, ты что до сих пор не понял, что это не глюк, а фича? 😉
А где написано о том, что в письме уникальная ссылка с авторизационными данными и что его нельзя пересылать? письмо ведь даже не именное, обычная рассылка.
Ждем индексации Гуглом или Яндексом подобных линков…
и.. вуаля =)
Яндекс любит такие штучки. Помните как он проиндексировал сообщения пользователей мегафона?)
Ці посилання створюються «на льоту» перед кожною розсилкою, і, знову ж, таки є унікальними завдяки хештегу який передається через змінну alk. Тому проіндексувати їх неможливо.
Сейчас тоже можно связаться с ПР и решить любые вопросы!
Аня, как вам сказать… Во-первых, в ТП дозвониться трудновато, а во-вторых, после ответа в стиле «Сам дурак» уже и не хочется.
Я вот, например, когда звонил в SuperDeal, то попросили описать ситуацию и сказали спасибо большое. Так что так…
Я уверена, что такой ответ вам никто не предоставлял!
Ууу, Аня… Как все запущено… Вот это, кстати, ответ в стиле «Сам дурак» тоже… Вы публично начинаете рассказывать клиентам о том, что им слышатся какие-то непонятные вещи…
Круто, продолжайте в том же духе 🙂
и если честно то не совсем понятно за что еще платят зп маркетингу с такими ответами ((
классное решение проблемы, браво!!
на претензию ответить «Я уверена, что такой ответ вам никто не предоставлял!», ржу и беру на вооружение :)))
У меня проблема. Я отправил другу ссылку, а он видит историю моих покупок. Решите вопрос)
Артур, відправлений другу лінк, це фігня, а от що хтось піде на оглядову площадку по вашим купонам (по профілю засвіченому в статті), це вже не фігня:)
Дмитрий, это смотря кто и что увидит 😉
Если, например, чья-то жена увидит скидку на поездку, в которую ее муж с ней не ездил или скидку на цветы, которые он ей не дарил, то можно долго потом объясняться, что ты это для друзей покупал :)))
Более того, не другу, а группе друзей. Они купили тучу купонов, заплатили за них, а они все доступны лишь в моем аккаунте. Друзья негодуют
Следующей шокирующей новостью будет что-то вроде «Обнаружена уязвимость в большинстве сайтов с авторизацией» и содержанием похожим на «Если пользователь передаст друзьям свои логин и пароль от сайта, то они смогут просматривать и редактировать его данные на сайте»?
Покажите, пожалуйста, еще хотя бы пару коммерческих сайтов, где хранятся личные данные пользователя, иногда проводящего финансовые операции, в которых авторизационные данные можно свернуть в урл
RSS от Приватбанка:)
Мой Круг от Яндекса постоянно присылает письма, там ссылка по которой сразу можно авторизировать. Что в этом такого не понимаю… просто об этом нужно предупреждать как это делают они:
Если Вы не хотите в дальнейшем получать новости, укажите это в настройках.
Внимание! По ссылкам в этом письме можно зайти в Ваш профиль без ввода пароля.
Поддерживаю мнение Артура.
Это исключительная уязвимость, закрыть которую не стоит труда.
Адресовано представителям ПОКУПОНА:
Вам бесплатно! сообщают о потенциальной уязвимости, а вы вместо того чтобы поблагодарить человека и оперативно решить вопрос — начинаете говорить что «так и должно быть».
Так вот, так быть не должно!
согласен и присоединяюсь к негодованию!
как пользователь системы крайне взволнован и озабочен данной уязвимость и халатным обращение к пользователям
Гм…. ну не вижу в этом всем ничего особо страшного… боитесь дыр — не стоит оставлять данные или передавать такие ссылки. Хотите поделиться информацией с другом, для этого есть соц. сети… или же можно отправить обычный линк на предложение.
Сама привыкла всеми акциями делиться через контакт и FB. Быстро, удобно и вопросов потом не возникает.
Сервис то сам по себе довольно приличный, акции у них одни из лучших, а ошибаться может каждый )
Настя вы не совсем правильно поняли смысл уязвимости. А смысл ее в том что вы возьмете из письма ссылку на акцию, сбросите ее используя соц сети своим друзьям — а они «пройдя» по ссылке автоматически авторизуются в вашем аккаунте на покупоне.
AIN — место для разоблачения грехов конкурентов :))
Кто ж против. Авось сайты и лучше станут)
дай только бог )
Мне кажется, еще мамба авторизирует таким же способом — по токену урла
благо, сообщение от мамбобота никто не шлет другу в почту потому как бессмыслена эта затея
Если уж обсуждение уязвимости перешло в публичную стадию, то логичней было бы чтобы объяснился техдиректор Покупона, а не PR-служба
а и вот еще наверно уже все и так знают что нет возможности отписаться от рассылки предложений и удалить свой аккаунт на покупоне
я так понимаю это можно решить только через фильтр на почте с помощу пометки как спам
но вот как быть с личными данными в аке покупона? (такими как телефон, и.ф.о., год рождения и т.д.)
или это тоже фичя и спам как само собой разумеющиеся у маркетинга должно быть??
у меня получилось отписаться от рассылки Покупона! Правда с матами – http://www.facebook.com/Cooluck/posts/10150329580036718
Я бы отписался от покупоновской рассылки только по одной причине — отправитель «? Твой Покупон ?». Эти звездочки просто выводят из себя, обращая на себя внимания среди вороха писем!
ну и что это за сервис для людей что без матов от него не отписаться ?? как по мне это уже мошенничество и вымогательство
Что надо сделать
1. В письме указывать не полную ссылку, а кнопку или текстовый вариант ссылки «посмотреть акцию»
2. При переходе по URL делать редирект на акцию без токена, токен регенениривать.
3. Делать автологин только при совпадения id пользователя в Cookies и URL (защита от пересылки письма)
4. Сообщить пользователям, что уязвимость исправлена
Пошаговое решение проблемы для программистов Покупона, вполне себе тянет на платный консалтинг, хотел аналогично написать, но уже вы написали, за что вам отдельное спасибо.
Пошаговое решение проблемы для программистов Покупона, вполне себе тянет на платный консалтинг, хотел аналогично написать, но уже вы написали, за что вам отдельное спасибо.
Пользуюсь покупоном и рычагом (http://rychag.com.ua) — тут тоже нельзя отписаться от рассылки 🙁
нужно обязателььно переходить в профиль. Пора бы уже начать соблюдать какие-то правила приличия. Надо на аггрегаторы переходить.
Mylalym, самого уже достали эти рассылки:) Пришлось звонить в рычаг (http://rychag.com.ua) и просить их отписать меня!!! А сейчас уже слышал и самому можно отписаться…