Dziura w o2.pl
W internetowym portalu www.o2.pl dostępny jest błąd dający możliwość nieautoryzowanym użytkownikom czytanie wszystkich prywatnych wiadomości i notatek oraz pobieranie plików bez znajomości ich hasła dostępowego do konta.
Zarejestrowany użytkownik portalu o2.pl otrzymuje dostęp do darmowej usługi http://moje.o2.pl w której ma możliwość m.in.: zapisania ważnych wydarzeń w kalendarzu, prowadzenie osobistych notatek, składowania plików jak i również prowadzenia książki adresowej. Niestety z powodu występującego błędu każda osoba będąca w posiadaniu konta w tym portalu może bez problemu przeczytać prywatne wiadomości i notatki pozostałych użytkowników, co jednoznacznie przekreśla ich prywatność.
Wykorzystanie błędu jest nadzwyczaj proste. Pierwszym krokiem, jaki należy uczynić jest załogowania się do usługi http://moje.o2.pl – jest to o tyle istotne gdyż, wygenerowana sesja dla zalogowanego użytkownika daje możliwość dostępu do wybranych usług dzięki czemu możemy bez problemu przeglądać nie tylko swoje informacje ale również pozostałych osób. Finalnym krokiem jest wpisanie w adresie URL przeglądarki odpowiedniego adresu, który daje dostęp do jednej z wybranych usług.
I tak, aby przeczytać prywatną notatkę wystarczy wpisać taki oto adres:
http://moje.o2.pl/notatki/obejrzyj.php?id=NUMER_ID
gdzie NUMER_ID jest numerem identyfikacyjnym notatki. Numer identyfikacyjny wybieramy losowo (pierwszy, który przyjdzie nam na myśl) bądź możemy również zapisać swoją własną notatkę, po czym analizujemy, jaki otrzymaliśmy numer identyfikacyjny dla tej wiadomości i modyfikujemy otrzymany numer o jeden bądź kilka numerów wyżej czy też niżej – wedle własnej woli. Na pewno pod którymś z nich „kryje się” wiadomość.
Dla przykładu w miejsce NUMER_ID wpiszemy numer 3333, a zatem adres URL będzie wyglądał następująco: http://moje.o2.pl/notatki/obejrzyj.php?id=3333
co w efekcie wyświetli notatkę zapisaną pod podanym numerem identyfikacyjnym.
Na tym jednak się nie kończy. Możemy również podglądnąć składowane pliki przez pozostałych użytkowników, dokonać ich edycji a nawet niektóre z nich pobrać. Aby edytować dowolny plik, wystarczy, że wpiszemy w adresie URL przeglądarki następujący adres:
http://moje.o2.pl/schowek/dodaj.php?akcja=edycja&katalog=0&id_plik=NUMER_ID
natomiast aby pobrać plik należy wpisać adres o postaci:
http://moje.o2.pl/schowek/dl.php?plik=NUMER_ID
gdzie, tak jak w poprzednim przypadku NUMER_ID jest numerem identyfikacyjnym ale tym razem pliku. Dla przykładu edytujemy plik o numerze 17237:
http://moje.o2.pl/schowek/dodaj.php?akcja=edycja&katalog=0&id_plik=17237
Do pozostałych usług również mamy dostęp. Możemy również podglądnąć a nawet edytować „adres przyjaciela”. Aby tego dokonać należy wpisać następujący adres:
http://moje.o2.pl/przyjaciele/adresy_edytuj_przyjaciela.php?id=NUMER_ID
Przykład: http://moje.o2.pl/przyjaciele/adresy_edytuj_przyjaciela.php?id=4169226
Reasumując przedstawiony wyżej problem jest dość niekorzystny dla wizerunku portalu internetowego o2.pl niemniej jednak nie jest to pierwszy tego typu przypadek w polskich portalach gdzie w dość prosty sposób można było uzyskać dostęp do prywatnych wiadomości. Miejmy jednak nadzieje, że zostanie on szybko usunięty.