Zrób sobie promocję w Merlinie, czyli panel administracyjny dostępny dla każdego (uaktualnienie)

W Merlin.pl, jednym z największych i najstarszych polskich sklepów internetowych, można bez żadnej autoryzacji dostać się do panelu administracyjnego, pozwalającego na zarządzanie promocjami. Poniżej zdjęcie, z oczywistych względów ukryłem adres panelu. Informację o problemie wysłałem do BOK i działu bezpieczeństwa Merlina.

Tagline sklepu brzmi “sklep z wyobraźnią”, najwyraźniej nieco tej wyobraźni zabrakło komuś w IT Merlina. Podziękowania dla mojego źródła za podesłanie informacji (przypominam też o stronie cynk).

Uaktualnienie: Wiele osób pytało dlaczego ten tekst pojawił się w RSS po czym natychmiast zniknął z bloga. Dostałem link do tego panelu jako /admin’ – z apostrofem na końcu. Sprawdziłem, że samo /admin nie działa i uznałem, że adres jest na tyle bezpieczny, że można opublikować screen. Okazało się (dzięki grzegor), że do panelu można dostać się przez /admincokolwiek. Dlatego zdjąłem tekst z bloga i poczekałem aż Merlin naprawi problem – mimo iż panel wydawał się być raczej niegroźny, nie było moją intencją upublicznianie dostępu do niego. Tym większy wstyd dla IT Merlina, że panel dostępny był w taki sposób, pod dowolnymi adresami zaczynającymi się na “admin”.

W chwili obecnej dostęp do panelu jest już zabezpieczony, więc przywracam tekst. W niedzielę nikt w Merlinie nikt nie zareagował i prawdopodobnie nawet nie odbiera poczty (mimo osobnego adresu mail przeznaczonego na kwestie bezpieczeństwa), problem naprawiono dopiero w poniedziałek około ósmej rano.

Uaktualnienie: Otrzymałem przed chwilą od Merlina szerszy komentarz do całej sytuacji: czytaj dalej »