Na Alze už za cizí peníze nenakoupíte, ale jinde to jde

I když nás zelený Alzák často dost štve, přesto na Alza.cz nakupuje dost Čechů. Téměř všichni při nákupu přemýšlí, jak ušetřit. Věděli jste, že ještě před pár měsíci šlo nakupovat úplně zdarma? Přesněji řečeno za cizí peníze. Dnes už je Alza chráněná, ale pořád to jde praktikovat jinde.

Petr Soukup dal dohromady krásný postup, jak jde na Alza.cz nakoupit za cizí peníze. Nic k tomu nepotřebujete, stačí jen vzít notebook, stáhnout program a vydat se blízko Alza pobočky. Pobočky totiž nabízí nezabezpečenou wifi, přes kterou si zákazníci často kontrolují číslo objednávky před vyzvednutím. Tím, že je wifi nezabezpečená, bylo možné snadno odchytit komunikaci mezi ní a zákazníkem Alzy. A vy jste tak mohli snadno přijít o peníze.

Je na Alze v současné době možné nakupovat za cizí peníze?

Je na Alze v současné době možné nakupovat za cizí peníze?

Ačkoliv na problém Petr Soukup poukazoval delší dobu, Alza tvrdila, že tento problém se jí netýká. Že má vše pořešené. Jak se ukázalo – nemá a to ani zdaleka. Na druhou stranu je třeba říci, že ani další velké shopy (Kasa.cz) na tom nebyly o moc lépe.

Jak vypadala bezpečnostní chyba u Alzy?

Nainstalovali jste si aplikaci Wireshark nebo něco jiného, co zvládá odchytávat komunikaci mezi uživatelem a WiFi. Posadili jste se někde blízko pobočky Alzy, kde jste WiFi chytali a čekali, než si někdo na mobilu kontroloval číslo své objednávky. Mezitím jste zapli Wireshark, zvolili jako rozhraní vaši WiFi kartu, vyberali režim “monitor” a spustili záznam.

Screenshot at zář 09 18-19-07

Jak se dalo nakupovat na Alze bez peněz?

Jakmile se někdo připojil k Alza.cz, odchytili jste celý požadavek a podívali se na hlavičky. Pod UIDX se skrýval jedinečný identifikátor zákazníka.

Ten jste pomocí JavaScriptu vložili do webové stránky Alzy a v mžiku jste byli přihlášení na jeho účet. Stačilo jít na Alza.cz a do řádku, kde je URL adresa, napsat kouzelnou formulku:

javascript:document.cookie=’UIDX=TPq+CGELjpNieHkotP3YYCkXbk0gREm6aGLkx+aEgHg=; expires=Fri, 3 Aug 2030 20:47:11 UTC; path=/‘

Pokud měl uživatel účet spojený s kartou, mohli jste nakupovat. Jestliže ne, třeba jste aspoň využili jeho Alzáky. A to není všechno. Přihlášením k účtu jste získali přístup ke spoustě osobních informací – od emailu, přes telefon až k bankovnímu účtu. Na tom se dá stavět spousta dalších aktivit sociálního inženýrství.

Alza už to vyřešila, v hledáčku je Kasa.cz

Smůla, teď už zadarmo nakupovat nebudete :-). Můžete tak leda “vygooglit” slevový kupón pro Alzu a pořídit si zboží legální cestou – za peníze. Nicméně na této Petrové ukázce můžete vidět, že ani velké shopy, u kterých by to každý asi čekal, nejsou dostatečně zabezpečené proti útočníkům. A hlavně – nejsou schopny ani přiznat, že se tato chyba u nich opravdu vyskytuje. Bohužel – bitý na tom bude nejspíš nakonec sám zákazník. Alza sice již nasadila HTTPS, což je šifrovaný protokol (poznáte jej podle ikonky zeleného zámku před URL adresou), ale pořád existují další a další velké e-shopy, které se nepoučily. Jedním z nich je zmiňovaný Kasa.cz, který šifrovanou verzi nemá. Což ostatně potvrdil sám Petr Soukup, který jako první na tuto chybu, kterou by mohli útočníci zneužít, upozornil:

„Alza nejdřív odmítala problém řešit, ale když se článek rozšířil, tak už zareagovala poměrně rychle a během zhruba týdne nasadila HTTPS na celém webu. Spolu s ní pak další velké eshopy, které to evidentně vyděsilo. Teď se pořád chystám na pokračování s eshopy, u kterých se sice nezadává číslo karty, ale zranitelné jsou úplně stejně. Týká se to například Kasa.cz, který i po upozornění na bezpečnostní nedostatky tvrdí, že u nich takový problém vzniknout nemůže.”

Kdo ještě zanedbává bezpečností opatření?

Kdo ještě zanedbává bezpečnostní opatření?

Zdroj: Souki

Komentáře

Nahoru