Alza si eshop zabezpečovat neplánuje
V neděli jsem psal, jak jde na Alze nakoupit za cizí peníze. Článek mezitím přetiskla Lupa.cz a od Alzy se jim podařilo získat vyjádření. A je to pecka!
Pokud jste nečetli, tak v minulém článku jsem předvedl, jak lze primitivně ukrást cizí účet na Alze, zaplatit jeho platební kartou, převést kredity, získat spoustu osobních údajů atd. Alza k tomu vydala následující vyjádření (převzato z Lupa.cz):
Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém. Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty. Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.
Evidentně ale článek nečetli. Vůbec jsem totiž nepředváděl ukradení hesla, ale ukradení session. Můj původní článek tedy funguje pořád úplně stejně a nic opraveno není. Dokonce bych řekl, že ani nic neopravili, protože tímto způsobem web fungoval už při psaní článku.
Nejzajímavější je ale informace, že s problémem neplánují nic dělat. Pro přehled tedy zopakuji, jaké problémy aktuálně pořád na webu jsou i přesto, že byly opakovaně hlášeny už minulý rok:
Ukradení hesla
Alza směruje přihlašovací formulář na zabezpečenou stránku. Heslo se tak přenáší šifrovaně, což je dobře. Jenže samotný přihlašovací formulář je na nezabezpečeném webu, takže pokud máte kontrolu třeba nad wifi, stačí prostě změnit action. Heslo si uloží útočník, zákazník bude přesměrován zpátky na Alzu a ani nepozná, že se něco stalo.Vaše heslo tedy není v bezpečí.
Ukradení účtu, zneužití platební karty atd.
Vše co jsem psal v minulém článku platí pořád stejně. Přestože je přihlášení na https, tak session se přenáší dál nešifrovaně. Vůbec nic tedy vyřešeno není.Vaše platební karta, kredity, osobní informace nejsou v bezpečí.
Zneužití karty
Alza uvádí, že ověřuje totožnost při placení kartou. V diskuzi jsme došli k tomu, že po někom občanku chtějí a po někom ne. To ale samozřejmě řeší jen odběr na pobočce Alzy - neřeší to doručení PPL, Alzabox atd.Alza navíc prodává i elektronické produkty. Navíc ty nakoupené dříve (třeba ebooky) jde stáhnout z profilu.
Řešení?
Jediné řešení těchto problémů je zapnout na webu https. Není jediný důvod to neudělat. Místo toho Alza dělá přesný opak a pokud přijdete na https://www.alza.cz, tak vás přesměruje na http://www.alza.cz
UPDATE 3.3.:
Alza nasadila https. Má to sice ještě mouchy, ale už jsou skoro v cíli. Uděluji plusový bod!