Urgent Cargus, Sameday Courier și GLS au grave vulnerabilitați la site-uri

Un cititor mi-a trimis imagini cu problemele pe care siteurile de curierat Urgent Cargus, Sameday Courier și GLS le au. Erori de programare mici și medii care lasă datele clienților la liber: CNP-uri, adrese, telefoane.

Acesta a semnalat problemele pe mail, dar doar GLS s-a sesizat și a reparat. Fără prea mare succes, că au alte găuri.

 

În mod normal, după un asemenea articol, firmele astea ar trebui să încaseze o amendă grasă, dar Data Protection nu există, iar Bogdan Manolea de la APTI e ocupat să vândă fraierilor certificate trusted.ro.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

17 comentarii

  1. Ce cnp-uri oameni buni? Am lucrat si cu Cargus si cu Fan si nu mi-a cerut nimeni cnp-uri pentru livrare. Mai degraba nr de telefon decat cnp-ul. Oricum f neplacuta situatia!

    00
  2. Si cum sa aiba incredere clientii pentru a comanda produse din magazine online? Doar intreb si eu.

    00
    • vulnerabilitatea nu e la magazinul online

      00
    • @barto: deocamdată :)

      00
    • Eu mi-am luat de la frigider, masina de spalat, mobila bucatarie, hota, cuptor cu microunde, bocanci, vin vechi la tot ce inseamna IT si electronice. Nu am avut niciun fel de probleme, DAR nu comand de pe site-uri obscure sau care au mai putin de 1 an, la livrare ma uit sa nu fie lovit coletul si intotdeauna platesc ramburs prima comanda (daca e ok la urmatoarele comenzi platesc cu cardul) . Garantia oricum este acordata de importator/distribuitor.

      00
    • Le dau eu bani, chiar si numa sa incerce

      00
  3. Omul a procedat corect, informându-i pe beneficiari. Așa este corect, așa este etic.

    Bine, sper că lui i-a răspuns cineva la mail. Că mie, de exemplu, cei de la Siveco nu mi-au zis nici măcar mersi, Dar, totuși, au fixat bug-ul.

    De la minutul 3.

    00
  4. Mai este un aspect interesant.

    De aproape două luni am oferit scanări gratuite de vulnerabilități pentru site-urile utilizatorilor unui forum [comunitate seo si sem].

    Zero cereri.
    De fapt au fost două cereri, dar când au auzit că trebuie să obțină acceptul pentru scanare de la furnizorul de hosting, s-au liniștit.

    00
    • am un articol in pregătire pe tema asta, o să ne distrăm :)

    • daca cu gauri costa mai putin decat fara… de ce s-ar complica?
      daca la costul variantei cu gauri (care expun date private, deci ilegal) am adauga niste amenzi… poate unii s-ar misca mai cu talent.

      totusi, pt gaurile legale (bad ux, etc) nu i-as blama.
      piata cere ieftin, deci te incadrezi in ce poti vinde.
      mai dureaza pana concurenta si clientul vor determina ridicarea calitatii

      00
  5. Cum legea în România nu este reglementată în legătură cu căutarea sau efectuarea de audit-uri de securitate, fără ca persoana sau entitatea care le realizează să aibă un contract în acest sens cu deținătorul site-ului (în cazul de față), acesta din urmă îl poate acționa în instanță.

    Art. 360 – Accesul ilegal la un sistem informatic
    (1) Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă.
    (2) Fapta prevăzută în alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani.
    (3) Dacă fapta prevăzută în alin. (1) a fost săvârşită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

    00
    • Sa zica mersi ca nu le face publice datele pe cat mai multe site-uri. Sa vezi dupaia procese din partea clientilor.

      00
  6. Nici blogerii romani nu stau mai bine :

    00
  7. Asta se intampla cand asa zis-ul „api” este facut la plesneala fara o encodare in format json cu o cheie publica-privata. Iar pe langa asta mai sunt si alte motive.

    00
  8. lasă că nici FanCourier nu mi se pare mai breaz…

    1) pe fiecare site eu mă înscriu de obicei cu o adresă de mail personalizată pentru site-ul respectiv. Adresa o schimb cu una nouă atunci când începe să primească spam iar adresa veche o reconfigurez ca spamtrap. (zoso e ok aici, încă nu a venit spam pe adresa cu care mă înscriu la comentarii :D )

    2) cam la câteva luni după ce cumpăr ceva de la Evomag/PCGarage/altii și livrarea se face prin Fan atunci începe să vină pe adresa de email respectivă spam pentru produse cu livrare ramburs prin curier…

    Treaba asta mi se întâmplă de ani buni cu livrările prin Fan, a început cam prin 2010-2011… cred că „îi lucrează” cineva din interiorul companiei fiindcă aproape de fiecare dată când comand ceva de la vreun magazin online și livrarea se face prin Fan mă trezesc că după câteva luni începe să vină spam românesc pe adresa de email respectivă, spam pentru produse cu livrare DOAR cu plata ramburs, prin curier.
    (și, ca să vezi potrivire, curierul folosit de spammeri este de obicei tocmai FanCourier – ori se scurg datele de la Fan, ori poate au o divizie internă de activități suplimentare – BlackOps .)

    Dacă vreți să căutați și prin mailboxuri pe la voi, cele mai recente spamuri care mi-au ajuns pe adresele de mail scurse via FanCurier sunt de la „Sfatul Medicului” și „Jurnalul Medical” cu adrese de expediere newsletter _at_ trustresponse punct com, spam ce face reclamă la produse de renunțat la fumat… site-ul promovat prin spamul ăsta este libertatea punct info

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG, de la Finestore, de la PORC sau de la Aceeași Mărie.

Pun clipuri pe Youtube