Image
25.2.2015 0 Comments

Na Alza.sk sa dá nakúpiť za cudzie peniaze. Bloger zverejnil návod, ako na to

alza copy.jpg Čech Petr Soukup píše blog o zákulisí e-shopov. V týchto dňoch sa zameral na e-shopy bez HTTPS a závažný bezpečnostný problém týkajúci sa zneužitia informácií na stránkach, ktoré nepoužívajú šifrované spojenie SSL. Podľa neho stačia minimálne znalosti a napríklad na Alze si môžete zaobstarať nový notebook, za ktorý zaplatí niekto iný.

Nejde však len o problém Alzy, prevažná väčšina e-shopov má rovnakú slabinu. Na blogu sa síce uvádza postup krok za krokom, nie je to však návod, ako by ste mali postupovať, pretože by ste sa tak dopustili trestného činu.

Ako teda možno nakupovať zadarmo? Najjednoduchší postup je odchytiť údaje o používateľskom účte z Wi-Fi. Potrebujete na to notebook, aplikáciu Wireshark a prehliadač. Potom si už len sadnete niekde v blízkosti pobočky Alzy a počkáte, kým si niekto na telefóne skontroluje číslo objednávky pred vyzdvihnutím. Alza vám to ešte uľahčí tým, že ponúka nezabezpečenú sieť. No aj keby bola zabezpečená, problém by sa tým nevyriešil, len váš postup by bol o niekoľko krokov dlhší.

Ak sa niekto cez Wi-Fi prihlási na svoj účet na Alze, web mu vygeneruje tzv. session cookie, ktoré aplikácia Wireshark umožní prečítať a vnútiť prehliadaču, takže po otvorení stránky budete prihlásení pod cudzím účtom. Potom už môžete nakupovať za cudzie Alza body, prípadne platobnú kartu, o ktorej si Alza informácie ukladá. Následne stačí tovar vyzdvihnúť v pobočke.

Po uverejnení blogového príspevku dostal Soukup vyjadrenie od Alzy:

„V priebehu včerajšieho dňa sme nasadili novú verziu webu, ktorú sme pripravovali dlhší čas a ktorá rieši opísaný problém. Prihlásenie do používateľského profilu a nákup tak už prebieha šifrovanou cestou. Šifrovaný web (HTTPS) využívame abudeme využívať pre sekcie Moje Alza, nákupný košík a prihlasovací dialóg, kde prebiehajú zásadné operácie s používateľskými účtami. Navyše máme zavedené ďalšie bezpečnostné opatrenia, ako napríklad overenie totožnosti kupujúceho pri nákupe platenom kartou."

Podľa Soukupa však Alza problém celkom nepochopila, pretože pri uvedenom postupe nejde o ukradnutie hesla, ale ukradnutie session. Uvedené opatrenia teda nič neriešia a opísaný postup funguje aj naďalej.

Zdroj: souki.cz
souki.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet 1

Prečo Google v utorok večer nefungoval?

24.11.2016 00:15

V utorok večer postihol služby Googlu rozsiahly výpadok, ktorý trval zhruba dve hodiny a zasiahol vo veľkej miere krajiny strednej Európy vrátane Česka a Slovenska. Používatelia nemali prístup k vyhľa ...

Internet

Instagram konkuruje Facebooku a Snapchatu. Zavádza živé video a miznúce správy

24.11.2016 12:00

Instagram sa pri svojich novinkách už aj v minulosti inšpiroval Snapchatom a tentoraz podľa jeho vzoru pridáva aj živé videá a miznúce správy. Živé videá čoskoro umožnia používateľom jednoduchým stla ...

Internet

Sociálna sieť LinkedIn v Rusku končí, ďalší na rade je Facebook a Twitter

18.11.2016 00:06

Federálna služba pre dozor v oblasti telekomunikácií, informačných technológií a masmédií (Roskomnadzor) vo štvrtok oznámila, že nariadila poskytovateľom komunikačných služieb zablokovať prístup na Li ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá