„Еконт“ не отговориха за теча на данни, но отстраниха проблема за няколко часа
Отстранен е казусът със свободен достъп до непознати данни и поръчки на уеб страницата на „ Еконт “. Това сподели инспекция на Tribune.bg към петък сутринта.
В четвъртък ви показахме по какъв начин потребителите на платформата могат без изключително усложнение и единствено с замяна на числа в адресната лента да нанесат тежки вреди и да трансформират непознати поръчки – да сменят телефон за контакт, адрес и даже да ги отхвърлят. Истински риск за сигурността за клиентите представляваше фактът, че можеха да бъдат открити и стотици домашни адреси
Проблемът евентуално произлизаше от това, че системата визуализираше данни за поръчката, без да прави инспекция дали ID-то на поръчката дава отговор и е основана от профила, с които потребителя е логнат в системата. По тази причина, без тази инспекция, на процедура можеха да се проследят всички поръчки за пощальон.
„ Еконт “ не дадоха отговор на запитването на Tribune.bg за публична позиция по тематиката, само че положителната вест е, че грешката им е оправена.
В четвъртък ви показахме по какъв начин потребителите на платформата могат без изключително усложнение и единствено с замяна на числа в адресната лента да нанесат тежки вреди и да трансформират непознати поръчки – да сменят телефон за контакт, адрес и даже да ги отхвърлят. Истински риск за сигурността за клиентите представляваше фактът, че можеха да бъдат открити и стотици домашни адреси
Проблемът евентуално произлизаше от това, че системата визуализираше данни за поръчката, без да прави инспекция дали ID-то на поръчката дава отговор и е основана от профила, с които потребителя е логнат в системата. По тази причина, без тази инспекция, на процедура можеха да се проследят всички поръчки за пощальон.
„ Еконт “ не дадоха отговор на запитването на Tribune.bg за публична позиция по тематиката, само че положителната вест е, че грешката им е оправена.
Източник: dnesplus.bg
КОМЕНТАРИ