Két sérülékenységre is felhívta egy programozó az alberlet.hu nevű oldal tulajdonosának a figyelmét egy ColdUnwanted nevű programozó, de választ sem kapott a figyelmeztetésére – írja a Telex. A cikk szerint az egyik egy úgynevezett SQL Injection, a másik pedig egy cross-site scripting (XSS) támadást tett lehetővé.
ColdUnwanted azt állította a lapnak, hogy ugyan a sérülékenységet javították, de a felhasználókat nem értesítették arról, hogy valaki hozzáfért a személyes adataikhoz. Az alberlet.hu a lapnak azt írta, valóban történt ilyen incidens, emiatt jelenleg vizsgálat folyik, és egy bejelentkezés után látható tájékoztatót is közzétettek a honlapon, melyben rosszhiszemű cselekménynek nevezték a történteket.
A sérülékenységről azt írta a Telex, hogy egy lekérés eltérítésével több mint 300 ezer felhasználó személyes adatait sikerült kibányászni az oldalról. Ezek Ip-címek, felhasználónevek, gyengén védett jelszavak, a címük és különféle hitelesítő tokenek. Az adatbázisban tranzakciós adatok is voltak, bennük a SimplePay és a szamlazz.hu alkalmazásprogramozási felületén (API) használt privát kulcsokkal. A másik sérülékenység XSS támadásokat tett lehetővé, amivel akár kártevőket telepítő szkripteket is el lehet így helyezni egy oldalon.
Az alberlet.hu azt közölte a lappal, hogy a vizsgálat lezárulta után bővebben felvilágosítást adnak majd az incidensről, és jelezték, hogy bejelentették azt a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
(képünk illusztráció)
