Dziura w Onet.pl
Tak! To prawda – najpierw Interia.pl teraz przyszedł czas na Onet.pl. Dzięki bardzo prostemu przypadkowi, niedopatrzeniu czy też przeoczeniu, OnetPoczta umożliwia przeglądanie prywatnych wiadomości innych użytkowników bez potrzeby znajomości ich hasła dostepowego do konta pocztowego.
Na początek trochę „teorii”. Zgodnie z zapisem występującym w dostarczonej pomocy (aby przeczytać pomoc, należy być zalogowanym na konto w OnetPoczta) obsługi konta pocztowego „OnetPoczta jest wygodną, łatwo konfigurowalną aplikacją internetową, która umożliwia jednoczesny dostęp do wielu kont pocztowych”. Autorzy w zupełności mieli tutaj rację!
Sprawa przedstawia się bardzo prosto: wystarczy zalogować się na własne (bądź czyjeś) konto w portalu Onet.pl, gdzie naszym następnym krokiem będzie wpisanie poniższego adresu url bezpośrednio w przeglądarce:
http://poczta.onet.pl/czytaj.html?p=1&ui=XXXXXXX&k=0&f=0
gdzie XXXXXXX to kolejne numery identyfikacyjny zapisanej wiadomości przechowywanej na serwerze.
Jak uzyskać taki numer? Nic prostszego! Jeżeli mamy zapisaną wiadomość w naszej skrzynce pocztowej, po „najechaniu” na nią, w statusie, uwidoczni się pełny link wraz z odpowiednim numerem tej wiadomośći. Taki numer kopiujemy i zgodnie z powyższym przykładem, modyfikujemy go o jeden bądź kilka numerów wyżej. To był pierwszy sposób. Drugi, nieco bardziej „brutalny”, polega na losowym wpisaniu jakiś cyferek. Uwierzcie mi! Zabawy jest na kilka, długich i deszczowych dni.
Dla przykładu, po własnej, krótkiej zabawie, znalazłem nastepujące trafne przypadkowo numery:
http://poczta.onet.pl/czytaj.html?p=1&ui=3548929&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548971&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548976&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548989&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548996&k=0&f=0
Dość ciekawym pomysłem będzie napisanie skryptu, którego zadaniem będzie generowanie kolejnego numeru wiadomości. Dodatkowo warto dopisać stosowny filtr który będzie zajmował się poszukiwaniem odpowiednich wpisów w celu zdobycia np. hasła lub bardziej interesujących nas informacji.
No dobrze. A jak zabezpieczyć się przed takim „nieoficjalnym” czytaniem poczty? Jedyne co przychodzi mi na myśl to, zaraz po przeczytaniu wiadomości, jej natychmiastowe skasowanie, bądź forwardowanie na inne, bardziej bezpieczniejsze konto pocztowe. Z koleji innym sposobem może być całkowite, bądź tymczasowe, zrezygnowanie z użytkowania konta w OnetPoczta.
Jak widać Polskie (czy tylko Polskie?) portale świadczące darmowy dostęp do kont pocztowych stoją pod znakiem zapytania ufności ich przyszłych klientów. Zapewne większość z Was pamięta głośny problem związany z bezpieczeństwem kont pocztowych dostępnych na serwisie Interia.pl. Teraz czarna chmura zapukała do drzwi portalu Onet.pl. A co z pocztą w serwisie wp.pl? Zapewne lada dzień, będzie o niej głośno.
Z góry przepraszam za czytanie i publiczny pokaz prywatnej poczty ale użyte odnośniki mają tylko na celu udowodnić i zademonstrować słabe zabezpieczenia poczty portalu Onet.pl.
update: Jak poinformował mnie Pan Andrzej Zachwieja z Onet.pl, błąd został naprawiony po kilkudziesięciu minutach od publikacji. Rzeczywiście błąd został już poprawiony – jedyne co nasuwa mi się na myśl, to pogratulować szybkiej reakcji ze strony Onet.pl.
Zobacz również:
Onet i Interia w jednym stali domu…