dodany: 03.12.2012 | tagi: , ,

Autor:

Jak pozyskać Twoje dane w 2 krokach?

3
Jak pozyskać Twoje dane w 2 krokach?

Korzystacie z 2be.pl? Wasze dane mogą być zagrożone! Nasz czytelnik powiadomił nas, że wystarczą 2 kroki, aby pozyskać informacje o użytkownikach serwisu.

Nasz czytelnik powiadomił nas, że na swoim blogu zamieścił post, w którym pokazał, że do pozyskania pełnych danych osobowych użytkowników serwisu 2be.pl wystarczą 2 kroki. Co zrobić, żeby poznać czyjeś:  imię, nazwisko, e-mail, numer telefonu, adres zamieszkania
i PESEL?

Zaloguj się i… zmień właściciela

Żeby poznać dane innego użytkownika serwisu rejestrującego domeny, należy:

  1. zalogować się do serwisu i w panelu użytkownika zaznaczyć opcję: „zmień właściciela”,
  2. należy podać login innej osoby, która ma konto w systemie – w domyśle nowego właściciela domeny.

Dane są Twoje!

Po „zmianie właściciela” system wygeneruje wzór dokumentu do wysłania faxem lub mailowo do firmy 2be. Znajdziemy w nim wszystkie informacje o nowym właścicielu domeny.

Odpowiedź od 2be

Nasz czytelnik po wykryciu błędu kontaktował się z pracownikiem firmy 2be przez czat online, a następnie z Biurem Obsługi Klienta. Odpowiedź od głównego administratora uzyskał 1 grudnia na swoim blogu:

Dziękujemy na zwrócenie uwagi na działanie opcji zmiany właściciela. Opcja ta została wyłączona w systemie po otrzymaniu informacji od Pana i ich upublicznieniu w celu zapobiegania ewentualnemu nadużyciu po Pana publikacji. Przeanalizujemy logikę systemu związaną z cesją domeny.

Czy wiedzieliście, że pozyskanie Waszych danych może być tak proste?

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

3 odpowiedzi na “Jak pozyskać Twoje dane w 2 krokach?”

  1. avatar Adam Wicherek pisze:

    Plus za dość szybką reakcję. Błędy się zdarzają wszędzie, ale ważne by nie ignorować ostrzeżeń.

  2. avatar hr. pisze:

    Kolejny blad, to potencjalny XSS na stronie 2be.pl:

    https://domeny.2be.pl/?unique_domain_name=XSS

  3. avatar CreaITve pisze:

    Dzięki za info!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *