Velký problém e-shopů bez HTTPS aneb jak nakupovat v Alze za cizí peníze

0

Petr Soukup na svém blogu Souki.cz popisuje závažný bezpečnostní problém, který se dotýká zneužití informací na stránkách, jež nepoužívají šifrované SSL spojení. Banky, e-maily nebo sociální sítě jej zpravidla mají, ale co když chybí například e-shopu? Pak se můžete vydávat za někoho jiného a na jeho účet nakoupit.

Alza HTTPS nemá Mall HTTPS má
Alza HTTPS nemá, Mall ano  

Autor problém demonstroval na webu Alzy. Obchod má na pobočkách nezabezpečenou Wi-Fi síť, což postup ještě usnadňuje. Stačí s sebou vzít na místo notebook s nainstalovaným analyzátorem packetů, nejznámější z nich je Wireshark. Když u něj zapnete monitoring, bude stahovat veškerou komunikaci, která přes Wi-Fi probíhá. A protože měla Alza nešifrovaný web, zachycené packety bylo možné ihned přečíst.

 

Pokud se někdo připojený k Wi-Fi přihlásil ke svému účtu v Alze, web mu vygeneroval tzv. session cookie. Ve Wiresharku jej můžete přečíst, prohlížeči pak vnutit a po otevření stránky budete přihlášení pod cizím účtem, aniž byste znali jeho jméno a heslo. Cookies mají navíc v Alze dlouhou dobu expirace, takže fungujíi po několika měsících!

No a když už jste přihlášení pod cizím účtem, můžete nakupovat přes jeho Alza body (přednabitý kredit), případně platební kartu, o níž si informace Alza sama ukládá. Pak už jen stačí zboží vyzvednout na pobočce, utéct a nikdo na vás nepřijde.

Petr Soukup začal onu velkou díru testovat už před třemi měsíci a dal Alze šanci, aby ji opravila. Jenže ta opravu zfušovala a postup funguje i nadále. Kompletní článek si můžete přečíst na souki.cz. Snad si jej přečtou i správci e-shopů a jiných webů, které pracují s citlivými osobními údaji uživatelů.

via +Radovan Paška

Velký problém e-shopů bez HTTPS aneb jak nakupovat v Alze za cizí peníze
Ohodnoťte tento článek!