Błędy w panelu administracyjnym Nazwa.pl

Paweł Jabłoński (redaktor serwisu hacking.pl), wraz z drugą osobą zajmującą się bezpieczeństwem sieci z Gdańska, pragnącą zachować anonimowość wykryli w serwisie nazwa.pl błąd, umożliwiający uzyskanie dostępu do poufnych danych klientów serwisu nazwa.pl.

Błąd ten można wykorzystać dopiero po zalogowaniu się do serwisu (co nie jest problemem, gdyż każdy może założyć sobie konto w serwisie nazwa.pl, klikając na link: https://nazwa.pl/rejestracja.php i logować się przy użyciu podanego przy rejestracji loginu i hasła).

Następnie wpisując w oknie przeglądarki link:

https://nazwa.pl/panel_payment.php?s=faktura&id=XXXXX

gdzie XXXXX to numer faktury w bazie danych (XXXXX – dowolna wartość) możemy przeglądać wszystkie dostępne w bazie danych faktury klientów serwisu nazwa.pl zawierająca takie dane jak numery faktur, adresy domowe klientów, domeny przez nich posiadane itd. Przykład na załączonym screenie.

Podejrzewamy iż podobnych błędów jest w serwisie nazwa.pl dużo więcej, jednak nie prowadziliśmy bardziej szczegółowego dochodzenia. Wyżej wymieniony błąd został naprawiony przez administrację nazwa.pl po otrzymaniu e-maila z wiadomością o wykryciu tegoż niedopatrzenia.

Screen przedstawiający luki w serwisie