Súlyos hiba: több százezer, kiadó lakásokat kereső felhasználó adataihoz fért hozzá egy programozó
Az alberlet.hu népszerű lakáskiadó oldalt “egy külső, rosszhiszemű cselekmény érte” a tájékoztatásuk alapján. Az eset azután látott napvilágot, hogy egy programozó súlyos sérülékenységeket talált a honlapon, amelyekkel hozzáfért a felhasználók személyes adataihoz, és akár a böngészőjük felett is átvehette volna az irányítást. A ColdUnwanted nevű programozó a Telexet kereste meg múlt hétfőn azzal, hogy milyen hibákat talált. Állítása szerint ezekről több levelet is küldött az oldal kezelőinek, akik, mint írta, nem válaszoltak neki, de a sérülékenységeket javították.
A Telex megkereste az alberlet.hu-t, akik így a kérdéseik után öt nappal kommunikáltak először nyilvánosan a történtekről, három héttel azután, hogy először fény derült a sérülékenységre, amit akkor ki is javítottak.
Mi történt?
A programozó két súlyos sebezhetőséget, úgynevezett SQL Injection és XSS hibát talált a rendszerben. Ezek lehetővé tették, hogy illetéktelenek hozzáférjenek a felhasználók adataihoz. A hiba információkat érinthetett, többek között IP-címeket, e-mailcímeket, telefonszámokat, lakcímeket és jelszavakat – utóbbiakat ugyan titkosítva, de egy elavult módszerrel, amely ma már könnyen feltörhető.
A programozó a Telexnek arról számolt be, hogy még a szolgáltatóhoz kapcsolódó fizetési rendszerek, például a SimplePay és a Számlázz.hu kulcsai is veszélybe kerülhettek. Bár a hibákat jelezte az oldal üzemeltetőinek, érdemi választ sokáig nem kapott.
Az alberlet.hu később elismerte a problémát, és azt közölte, hogy vizsgálatot indítottak, valamint javításokat végeztek az oldalon. Az oldal kezelői a Telexnek azt írták, jelenleg vizsgálat folyik az ügyben, és erről a lap kérdései után végül egy tájékoztatót is közzétettek a honlapon, melyben rosszhiszemű cselekménynek nevezték a történteket.
A lap hangsúlyozza, hogy bár ezek a módszerek már nem működnek, jelenleg nem tudni, hogy mások is észrevehették és kihasználhatták-e a sérülékenységeket anélkül, hogy szóltak volna erről az alberlet.hu-nak.
Így ugyanis nem lehet kizárni, hogy mások is birtokában lehetnek a felhasználók adatainak, és ameddig az alberlet.hu nem tájékoztatja őket erről közvetlenül, addig nemcsak az itteni fiókjuk, hanem jelszóegyezés esetén más fiókjaik is veszélyben lehetnek.
“Miután az eset körülményei teljes körűen kivizsgálásra kerültek, akkor bővebb felvilágosítást fogunk adni, hogy milyen jellegű incidens történt és az Önre nézve milyen hatásokkal vagy következményekkel járt. Az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatósághoz bejelentettük. Amennyiben további kérdése lenne az adatvédelmi incidenssel kapcsolatban, akkor forduljon az Adatvédelmi tisztviselőnkhöz a következő email címen: dpo@alberlet.hu” – olvasható az oldal kezelőinek tájékoztatójában.
Mit tegyenek a felhasználók?
A felhasználóknak most érdemes különös óvatossággal eljárniuk. A legfontosabb lépés a jelszavak azonnali megváltoztatása, különösen akkor, ha ugyanazt a jelszót más weboldalakon is használják. Az erős, egyedi jelszavak és a kétlépcsős azonosítás segíthet a további visszaélések megelőzésében.
Mit tegyél, ha te is érintett lehetsz?
- Változtasd meg a jelszavadat az alberlet.hu-n, és mindenhol, ahol ugyanazt használod.
- Ne használj újra jelszavakat! Minden online fiókhoz külön-külön, erős jelszó szükséges.
- Kapcsold be a kétlépcsős azonosítást (pl. SMS-kód vagy hitelesítő app) ahol csak lehet.
- Figyeld a bankszámlád és a fizetési szolgáltatásaid, amennyiben gyanús tranzakciót látsz, azonnal jelezd a banknak.
- Legyél óvatos a gyanús emailekkel: a támadók gyakran lopott címeket használnak adathalász levelek küldésére.
Iratkozz fel a hírlevelünkre, hogy ne maradj le a legérdekesebb cikkekről!
Ajánljuk még:
6 nap egyetlen töltéssel: indulhat a roham a Pennybe az...
Figyelem! Ha vettél ilyen teát, meg ne idd, visszahívták a...
Azonnal kapcsold ki a Wi-Fi-t a mobilodon, amikor elmész otthonról...
Azonnal dobd ki a mobiltöltőd, ha látod ezt a pöttyöt a...
Régen minden magyar konyhában ott volt, most újra kapható - roham...
