Alza HTTPS nemá, Mall ano
Autor problém demonstroval na webu Alzy. Obchod má na pobočkách nezabezpečenou Wi-Fi síť, což postup ještě usnadňuje. Stačí s sebou vzít na místo notebook s nainstalovaným analyzátorem packetů, nejznámější z nich je Wireshark. Když u něj zapnete monitoring, bude stahovat veškerou komunikaci, která přes Wi-Fi probíhá. A protože měla Alza nešifrovaný web, zachycené packety bylo možné ihned přečíst.
Pokud se někdo připojený k Wi-Fi přihlásil ke svému účtu v Alze, web mu vygeneroval tzv. session cookie. Ve Wiresharku jej můžete přečíst, prohlížeči pak vnutit a po otevření stránky budete přihlášení pod cizím účtem, aniž byste znali jeho jméno a heslo. Cookies mají navíc v Alze dlouhou dobu expirace, takže fungujíi po několika měsících!
No a když už jste přihlášení pod cizím účtem, můžete nakupovat přes jeho Alza body (přednabitý kredit), případně platební kartu, o níž si informace Alza sama ukládá. Pak už jen stačí zboží vyzvednout na pobočce, utéct a nikdo na vás nepřijde.
Petr Soukup začal onu velkou díru testovat už před třemi měsíci a dal Alze šanci, aby ji opravila. Jenže ta opravu zfušovala a postup funguje i nadále. Kompletní článek si můžete přečíst na souki.cz. Snad si jej přečtou i správci e-shopů a jiných webů, které pracují s citlivými osobními údaji uživatelů.
via +Radovan Paška
ČLÁNKY DO MAILU