Zrób sobie promocję w Merlinie, czyli panel administracyjny dostępny dla każdego (uaktualnienie)
W Merlin.pl, jednym z największych i najstarszych polskich sklepów internetowych, można bez żadnej autoryzacji dostać się do panelu administracyjnego, pozwalającego na zarządzanie promocjami. Poniżej zdjęcie, z oczywistych względów ukryłem adres panelu. Informację o problemie wysłałem do BOK i działu bezpieczeństwa Merlina.
Tagline sklepu brzmi “sklep z wyobraźnią”, najwyraźniej nieco tej wyobraźni zabrakło komuś w IT Merlina. Podziękowania dla mojego źródła za podesłanie informacji (przypominam też o stronie cynk).
Uaktualnienie: Wiele osób pytało dlaczego ten tekst pojawił się w RSS po czym natychmiast zniknął z bloga. Dostałem link do tego panelu jako /admin’ – z apostrofem na końcu. Sprawdziłem, że samo /admin nie działa i uznałem, że adres jest na tyle bezpieczny, że można opublikować screen. Okazało się (dzięki grzegor), że do panelu można dostać się przez /admincokolwiek. Dlatego zdjąłem tekst z bloga i poczekałem aż Merlin naprawi problem – mimo iż panel wydawał się być raczej niegroźny, nie było moją intencją upublicznianie dostępu do niego. Tym większy wstyd dla IT Merlina, że panel dostępny był w taki sposób, pod dowolnymi adresami zaczynającymi się na “admin”.
W chwili obecnej dostęp do panelu jest już zabezpieczony, więc przywracam tekst. W niedzielę nikt w Merlinie nikt nie zareagował i prawdopodobnie nawet nie odbiera poczty (mimo osobnego adresu mail przeznaczonego na kwestie bezpieczeństwa), problem naprawiono dopiero w poniedziałek około ósmej rano.
Uaktualnienie: Otrzymałem przed chwilą od Merlina szerszy komentarz do całej sytuacji:
Dziękujemy bardzo za zgłoszenie problemu, o którym pisze Pan na swojej stronie. Pragnę wyjaśnić zaistniałą sytuację. Panel, do którego zyskał Pan dostęp był już od dawna nieaktywny i nie pozwalał tak naprawdę na zarządzanie promocjami ani żadnym innym kontentem naszej strony. Przez nieuwagę strona ta widniała w sieci, oczywiście po Pana interwencji, natychmiast ją zdjęliśmy.
Agata Czarnowska, Merlin.pl
Przeczytaj także:
- Jedno z pierwszych przejęć blogów w Polsce, czyli Polygamia w Agorze
- Konkurs Webstop i NextoAPI – do wygrania nagrody o wartości 7000 zł
- Polskie startupy w finale SeedCamp – gratulacje dla Soylent Systems i Adtaily (uaktualnienie)
- Włamanie wszech czasów – wykradzione dane 10 mln użytkowników serwisu aukcyjnego
- Obowiązkowe lekcje z bezpieczeństwa w internecie w szkołach
No niepowiem, żeby ta zakryta część linku była jakoś szczególnie trudna do zgadnięcia.
A merlin.pl jakoś Ci podziękował? Zniżki? Jakaś nagroda? Czy zero wdzięczności?
ach wy hakierzy :) ostatnio za błąd znaleziony na helionie miałem 3 dni zniżki 50 % :)
Nie pytałem o żadne nagrody, po prostu wysłałem im info. Dostałem dziś rano jednolinijkowego maila z podziękowaniem.
No to się postarali chłopaki. Jakbyś zapytał o nagrodę, to by Cię pewnie oskarżyli o szantaż albo coś podobnego.
eee troszke stara ta informacja :p wiele osob wiedzialo o tym jakis miesiac temu :)
@sulucilus: Zastanawiające, że nikt z owych wielu osób nie pofatygował się wysłać Merlinowi maila z info.
@Barek: a moim zdaniem zdumiewajace jest to, ze ludzie nie potrafia docenic tego, ze podsylasz im emaila z dziura…
na ladnych kilkadziesiat przypadkow – prawie wszystkie skonczyly sie na moim emailu (0 odpowiedzi). w dwoch przypadkow natychmiast wylaczono serwer, a odpowiedz w stylu dzieki dostalem bodaj trzy razy. jedynie raz w prezencie otrzymalem pakiet hostingowy na 2 lata za free (wartosc ok. 6000PLN wtedy).
IMHO bierze sie to stad, ze ktos, kto odpowiada za aplikacje / administracje serwerem nie chce, zeby informacja o lukach dotarla gdzies wyzej w szczeblach firmowej struktury (prestiz, premia, ew. konsekwencje) – a przeciez miec luke i o niej wiedziec, to jeszcze nie jest koniec swiata. gorzej, gdy luka jest – a my o niej nic nie wiemy…
lansiaz…dostal cynk i wykorzystal na blogu do swojego celu, czyli…
nastepnym razem “cynkowi” nic nie powiem.
nie wiedzialem,ze ten blog o taki “pudelek IT” :P
@tn: Od tego jest przecież “cynk”. Poza tym nie wydaje mi się, żebym to info dostał od Ciebie – dobrze wiem od kogo je dostałem (nie anonimowo).
Webstop to nie pudelek, za to kwestie bezpieczeństwa w jednym z największych serwisów ecommerce w Polsce (który przechowuje m.in. również moje dane) zawsze będą dla mnie ważne i uważam, że warto głośno o nich mówić.
Wg mnie to troche niepowaznie podeszli do tego problemu. Moze i panel nie pozwalal na zadne niepozadane dzialania, ale skoro taki problem sie pojawil to moze to swiadczyc o tym, ze admini nie przykladaja odpowiedniej uwago do tego co robia… I kiedys zrobic podobny blad, ktory juz bedzie mial powazne skutki.
It’s not a Bug! It’s an undocumented feature
@Bartek Raciborski, po tym jak helion nie wyslal nawet podziekowania za to ze powiedzialem im.. ze ich wszystkie maile byly dostepne pod adresem http://helion.pl/webmail/ (btw ciekawe jest to ze w helionie pare osob uzywa maila firmowego jako prywatnego – sporo zaproszen z n-k bylo ;p) jakos odechcialo mi sie informowac innych, poza tym to tylko ustawianie promocji nic wiecej tam nie bylo(i to chyba nie dzialalo tak jak powinno albo poprostu ja nie widzialem efektow jak sprawdzalem jakies tam ID).. przynajmniej jak ja tam bylem jakis czas temu.. poza tym ten panel wygladal tak jakby to byl bardzo stary panel admina juz nie uzywany ;)
@sulucilus: Nie wiem jak działał panel Merlina, bo nie próbowałem używać żadnej funkcjonalności ani klikać nigdzie dalej, żeby im nie mieszać. Po prostu dałem im znać.
Ty, z tego co piszesz, nie mogłeś się powstrzymać od przetestowania panelu i od przeglądania poczty pracowników Helionu (nawet jeśli tylko listy maili a nie treści). I jeszcze się tym chwalisz wszem i wobec. Bez komentarza.
@Bartek Raciborski oj nie wiesz to nie pisz :) zobaczylem tylko 3-4 maile aby wiedziec czy to stare pliki czy nie i im ten blad zglosilem :) napewno nie skopiowalem calej listy maili i sobie przegladalem bez przesady (chcialem poprostu zobaczyc co to za pliki, czy napewno maile), nie mam czasu na czytanie i odpowiadanie na wszystkie swoje maile, a co dopiero innych :) poza tym.. blad dostepnego dla wszystkich panelu admina (dostepu do bazy np. za pomoca phpmyadmina lub tez innych plikow ktore sa publicznie dostepne bez zadnego zabezpieczenia np. ostatni wyciek CV) zdarza sie bardzo czesto.. kilka lat temu nawet onet mial ten blad :)
@Bartek Raciborski to nie jest chwalenie sie(moze zle to napisalem dlatego tak zrozumiales, jesli tak to przepraszam..) bo nei ma czym :) (bym wolal cos wlasnego stworzyc i Tym sie chwalic :) ) poprostu chcialem pokazac, ze tego Typu bledy sa czeste.. i nie ma nic w tym dziwnego.. bo programisci ida na latwizne :) btw taka mala ciekawostka.. sprawdz logi bledu 404 na swoich serwisach.. jak bedziesz mial “szczescie” to zobaczysz w nich slad po robotach skanujacych tego typu sciezki (admin/, phpmyadmin/ etc) sam kiedys nawet napisalem takiego z dosc duza baza takich folderow i plikow :)