En annen kundes brukernavn/passord/opplysninger dukket opp på skjermen

[Grooo]

Jeg var inne hos en norsk nettbutikk for å handle noe nå nettopp. Har handlet der før, typisk ett sted hvor man hander for noen hundrelapper innimellom. Innlogget som meg selv gikk jeg til en knapp som het noe ala "tidligere bestillinger" og der dukket bestillingsdato/ordrenr for en helt annen person opp. Jeg så hva personen hadde bestilt, hva det kostet osv. Jeg satt her som ett stort spørsmålstegn, og trykket på "min side" eller hva det het, - og joda: Der også så jeg personens navn, adresse, telefon, epost og PASSORD. Øverst på siden stod det hele tiden mitt eget navn som innlogget...
Logget meg ut og inn igjen, og da fikk jeg heldigvis bare mine egne opplysninger fram.

Før jeg logget ut tok jeg skjermdump av ett par av sidene med opplysninger jeg fikk fram.

Jeg har sendt mail til de som driver nettbutikken, for dette er da virkelig ikke bra!?!?!!!

 

[Hakasu]

Nei, det er ikke bra. Spesielt siden den viste passordet!

 

[TorsteinO]

men helt korrekt fremgangsmåte - ta screenshot for å vise at det faktisk skjedde, og ta kontakt med dem

 

[rune69]

Har en sjelden gang opplevd at når noen bekjente har sendt meg en link til en vare i et par nettbutikker så har jeg fått opp produktsiden og samtidig kommet rett inn på kontoen til vedkommende...

 

[Sjefskoder]

Hallojs!

Dette er en stoooor sikkerhetsfeil i systemet til eierene av den butikken..

Synes virkelig du skal sende dem den screenshot'n og fortelle hva som skjedde og be de ta kontakt med meg, for å få orden i systemet sitt

Men, fra spøk til revolver så synes jeg at du nesten er forpliktet til å fortelle dem om dette

Så gjør din plikt som bruker og fortell om dette, det hadde de sikkert satt pris på..

/S

 

[TorsteinO]

Det triste er at de som driver forskjellige slike ting ofte driter i den slags... Kjenner litt til de gutta som "hacka" tele2 og "tappet" noen hundre tusen personnr/personopplysninger, for noen år siden. De hadde på forhånd oppdaget det mer eller mindre tilfeldig (nærmere bestemt: de la merke til at det var noe som så ut som en stor sårbarhet når de skulle bestille mobilabo, og testet deretter om hullet virkelig var slik som de trodde). Deretter tok de faktisk kontakt med tele2, og sa fra om hullet, men fikk aldri noen respons, og hullet ble stående åpent. Etter noen måneder la de til slutt ut infoen og "proof of concept" (altså et lite program der de beviste at dette tilogmed kunne automatiseres, rett og slett ved å gjøre det) på en anonymt opprettet blogg, og spredte infoen. Vips så ble det liv i leiren, men på hvilken måte? Jo, tele2 politianmeldte dem (dvs - de har aldri funnet gutta som faktisk stod bak det) for datainnbrudd osv, men hullet ble ihvertfall til slutt tettet.

 

[Grooo]

De tok det veldig seriøst. Jeg ble oppringt i dag tidlig av butikkeieren, han hadde alt vært i kontakt med dem som lager systemet og jeg har senere i dag mailet litt fram og tilbake med de som lager systemet.

 

[TorsteinO]

bra å høre