В популярном украинском сервисе коллективных покупок “Покупон” обнаружена довольно серьезная дыра в безопасности. Ссылка, которую получают пользователи в рассылке, позволяет любому желающему получить доступ к учетной записи изначального адресата.
В том случае, если отправить присланную в письме ссылку на акцию друзьям, они получат не просто информацию о новой акции, а сразу будут залогинены на сайте под логином получателя и смогут просматривать историю его покупок, редактировать профиль и т.п.
Служба поддержки сервиса была проинформирована о данной уязвимости еще в пятницу, но вместо того, чтобы исправить, начали рассказывать пользователю, что у него проблемы с cookies и кешем браузера.
Покупон – популярный украинский сервис коллективных покупок. Его пользователями, по неофициальной информации, являются более 750 тыс. человек.
Информацию подсказал Алексей Федоров через форму Поделиться новостью.
UPDATE: AIN.UA получил официальный комментарий компании «Покупон» относительно введения автологина на сайте – комментирует ситуацию Александр Каган, операционный директор компании:
«Автологин создан исключительно для удобства пользователей. Он позволяет заходить в свой аккаунт, не вводя каждый раз логин и пароль, или вспоминать последний. Подобная практика очень популярна и используется многими сервисами и сайтами, как в мире, так и в Украине. Его практикуют: социальные сети, сайты коллективных скидок, интернет-магазины, сайты знакомств и т.д.
Ссылки, которые содержатся в рассылке, являются уникальными для каждого пользователя Покупона. Передавать их третьим лицам, как в принципе, личные данные и пароли, не рекомендуется.
Во избежание подобных недоразумений в нашей рассылке будет размещена информация об уникальности ссылок и о возможных последствиях передачи их третьим лицам».
