Oczywiście mam na myśli serwis randkowy symaptia.onet.pl.

Kilka dni temu okazało się, iż zabezpieczenia serwisów nawet tak dużych nie są idealne.

Czarodziej?

Kilka dni temu okazało się, że mam możliwość stać się największym macho w Polsce
Jak na taką osobę przystało posiadałbym ogromną wiedzę na temat tysiąca kobiet wraz z ich zdjęciami, numerami telefonów, adresami email oraz adresami pocztowymi..
Chociaż taka wiedza to już wkracza w zasięg czarodzieja? a dokładniej czarodzieja informatyka ;).

W tym samym czasie bowiem okazało się, iż jeden z największych serwisów randkowych posiada dziury w bezpieczeństwie, które pozwalają stać się w/w czarodziejem Serwisem tym jest Sympatia, której właścicielem jest największy serwis internetowy w Polsce, Onet.pl. A przy okazji warto wspomnieć, iż serwis sympatia.onet.pl posiada aktualnie ponad 2 mln użytkowników, więc miałbym w czym wybierać?

Troche konkretów.

Luki w bezpieczeństwie serwisu umożliwiają dostęp do każdego wybranego konta użytkownika bez jego wiedzy. Trik polega na wykradzeniu magicznej wartości kryjącej się pod nazwą SYMPID03. Pod nią (ukrytą albo w ciasteczkach albo w adresie URL) schowany jest identyfikator sesji, za pomocą którego serwis rozpoznaje zalogowanego użytkownika. Dokładne wyjaśnienie przeznaczenia tej wartości znajduję się również w regulaminie Sympatii (paragraf 3 pkt 6b):
??W przypadku przekazania lub udostępnienia w postaci linku lub w inny sposób, widocznego adresu strony internetowej zawierającego w jego pisowni słowa ?SYMPID? innej osobie, pozwoli to tej osobie na korzystanie z Serwisu tak jak Użytkownik udostępniający taki adres??
Prawdopodobnie regulamin jest nieuaktualniony, ponieważ to tajemnicze słowo brzmi ?SYMPID03?, a nie ?SYMPID?, jednak idea pozostaje ta sama.
Chętnych zapraszam do zapoznania się z dalszą cześcią regulaminu pod tym adresem.

Problem w tym, iż wartość tą można uzyskać bez wiedzy atakowanej osoby. Jedynym warunkiem jest, aby nasza ?ofiara? była zalogowana oraz uczyniła pewne kroki, do których bardzo łatwo ją sprowokować. Więcej informacji dotyczące sposobu ataku aktualnie nie zostanie udostępnione, ze wzgledów bezpieczeństwa. Szczegóły wraz z opisem ataku krok po kroku przedstawię gdy błąd zostanie naprawiony.

Jako dowód umieszczam zrzut ekranu z oknem dialogowym JavaScriptu. Widać na nim, iż bez problemu uzyskałem dostęp do danej SYMPID03, przekierowanie jej na dowolny adres i zapamiętanie nie stanowi już problemu.
Innymi słowy serwis jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery).

Podkradając identyfikator sesji posiadamy pełny dostęp do konta użytkownika i możemy wykonywać dowolne operacje, które mogą być wykonywane przez tego użytkownika, a które nie wymagają potwierdzenia poprzez wpisanie hasła.
Okazuje się, iż olbrzymia większość operacji takowego potwierdzenia nie potrzebują, jest wśród nich:

* dodawanie/usuwanie zdjęć,
* edytowanie opisu na stronie,
* podgląd/usuwanie/wysyłanie poczty oraz ?oczek?,
* dostęp do adresu emaila oraz telefonu,
* dostęp do danych adresowych!

Dane adresowe nie są aż tak łatwo dostępne, ponieważ strona ?Ustawienia -> Dane adresowe? je zawierająca wymaga ponownego wpisania hasła. Posiadamy jednak dostęp do listy płatności jakie dany użytkownik dokonał, a na nich znajduje się adres pocztowy oraz adres emailowy płacącej osoby, czyli naszej ?ofiary?.

Ważna informacja.

Wspomnę tylko, iż znaleziona luka nie została wykorzystana do zebrania jakichkolwiek danych prywatnych użytkowników serwisu. W szczególności nie włamałem się na żadne konto osób trzecich oraz nie zebrałem z nich danych osobowych. Wszystkie zrzuty ekranu jakie powstały w trakcie testów były wykonane podczas ataku na własne konto testowe.

Jednocześnie jedynym celem artykułu jest poinformowanie zainteresowane osoby o niebezpieczeństwie.

Serwis Sympatia został poinformowany czego wynikiem jest odpowiedź:

..Niezwłocznie po otrzymaniu zgłoszenia zajęliśmy się sprawą w trybie pilnym?