Razkrito

V spletni trgovini s spolnimi pripomočki je dobil vse podatke strank

Ste tudi vi med tistimi, ki jim je neprijetno stopiti v trgovine, ki ponujajo žgečkljive pripomočke? Tako imenovani »sex shop-i«, so doživeli pravi razcvet s pojavom možnosti nakupovanja na spletu, ki ljudem nudi vsaj delno anonimizacijo, oziroma nas reši pred nerodnim pogledom v oči prodajalca, v nekaj dneh pa vam dostavna služba dostavi želene artikle na dom.

Toda uporabniki ne pomislijo, da so pri fizičnem obisku pokazali le svoj obraz ob enkratnem vstopu v svet poredne zabave, ob nakupu na spletu pa so trgovcu pustili neprimerljivo več osebnih podatkov, od imena in priimka do njihovega naslova, kontaktnih podatkov in bančnih podatkov potrebnih za opravo nakupa!

Ko združimo te informacije s podatki o nakupih v specializirani trgovini, dobimo kombinacijo, s katero bi se lahko pričel kakšen izsiljevalski triler.

Kot povzemamo po članku s portala Slo-tech, so jih v preteklem tednu anonimni viri obvestili o dveh spletnih straneh, sex-trgovina.si in portia-erotica.com, ki jih glede na razpoložljive podatke upravlja podjetje Denis Šift s.p. in sta vsebovali zelo nevarno napako.

Obe bazirata na izjemno popularni brezplačni platformi WordPress in sta poleg nakupa omogočali tudi registracijo uporabnikov, na kar sta prav specifično opozarjali

Vir: Slo-Tech

Presenečenje pa je uporabnike čakalo ob prijavi v novo ustvarjeni račun, saj se jim je pokazala administratorska orodna vrstica.

Vir: Slo-Tech

Tistim bolj domačim s spletnimi stranmi bo hitro jasno, da vam prikaz te vrstice omogoča dostop do zaledja spletne trgovine.

Z le nekaj kliki so imeli vsi uporabniki dostop do vseh izvedenih naročil in osebnih podatkov drugih kupcev. Kot so na Slo-Tech nazorno prikazali s slikami (nekatere informacije so zabrisane zaradi varovanja osebnih podatkov), lahko vidimo, da so imeli pri prijavi poln administratorski dostop.

Vir: Slo-Tech

 

Vir: Slo-Tech

To pomeni, da so uporabniki dobili tudi druge možnosti, od menjave cen, do namestitve zlonamerne kode na stran.

Kljub pogostim vdorom v WordPress strani s pomočjo zlonamerne kode, to ni bil eden izmed teh primerov. Pri omenjenih spletnih trgovinah je šlo preprosto za malomarnost izdelovalca in upravljalca spletne trgovine, ki niso poskrbeli za ustrezno zaščito potrošnikov.

Ob prejemu anonimne prijave so na Slo-Tech hitro postopali in:

Informacije o varnostnem incidentu smo prejšnji teden posredovali Informacijskemu pooblaščencu in na SI-CERT. Iz SI-CERT-a so nam nato sporočili, da so upravljavca spletne trgovine o zadevi obvestili, nekaj dni po tem pa še, da jih je upravljavec spletne strani obvestil, da so napako odpravili. Od predvčerajšnjim prijava na omenjeni spletni strani ni več mogoča.

Kaj pa vi menite, ali je incident zrel tudi za prijavo na policijo?

Dodaj komentar