Pragnący zachować anonimowość czytelnik Zaufanatrzeciastrona.pl podesłał serwisowi opis błędu poczty Onetu, który pozwalał dowolnemu użytkownikowi usługi pobieranie poczty, kontaktów i danych innych użytkowników.
Dane można było pobierać dzięki funkcji pobierania kopii swoich danych. Po zalogowaniu użytkownik mógł wysłać do serwera żądanie, w odpowiedzi na które otrzymywał listę zawartości katalogu zawierającego pliki innych użytkowników (zarówno bieżące, jak i historyczne). Pliki można było następnie bez problemu pobrać.
„Nie powinno się to zdarzyć w poważnej firmie w stosunku do danych klientów”
„Nasz czytelnik odkrył jeden z najbardziej popularnych błędów bezpieczeństwa, czyli możliwość uzyskania nieautoryzowanego dostępu do katalogu z danymi klientów. Uzyskanie dostępu wymagało użycia sztuczki z dodatkowym kodowaniem znaków specjalnych, ale nie powinno się to zdarzyć w poważnej firmie w stosunku do danych klientów” - podkreśla w tekście naczelny Zaufanatrzeciastrona.pl Adam Haertle.
Onet usunął błąd po zgłoszeniu czytelnika. Zaufanatrzeciastrona.pl spytała portal, m.in. czy potwierdza istnienie błędu, ilu użytkowników mógł on dotyczyć i czy Onet powiadomi użytkowników, których skrzynki były narażone na ryzyko. „Podatność była do nas zgłoszona 30 czerwca, została przez nas potraktowana z najwyższym priorytetem i tego samego dnia została poprawiona. (…) Udało się ustalić, że podatność była wykorzystana tylko przez osobę zgłaszającą błąd” - odpowiedziała Agnieszka Skrzypek-Makowska z biura komunikacji Ringier Axel Springer Polska.
##NEWS https://www.wirtualnemedia.pl/centralne-biuro-zwalczania-cyberprzestepczosci-co-to-jest-pensja-za-co-odpowiada,7170148153428097a ##
Zaufanatrzeciastrona.pl dodaje, że błąd prawdopodobnie mógł dotyczyć użytkowników, korzystających z funkcji eksportu poczty, kalendarza, książki adresowej lub danych użytkownika. Serwis radzi, by użytkownicy usług Onetu spytali portal, czy ich dane nie trafiły w niepowołane ręce. „Błędy zdarzają się wszystkim, ale możliwość pobrania cudzej skrzynki w 2021 r. nie brzmi jak rekomendacja do dalszego używania usług tego dostawcy” - dodaje Haertle.
Niedawno Onet wprowadził na swojej platformie pocztowej nową usługę o nazwie „Zweryfikowany Nadawca”. Ma ona umożliwiać większą kontrolę zabezpieczeń planowanych wysyłek oraz poprawić ich widoczność w skrzynkach mailowych.
