Wszystko zaczęło się na pozór, jak tradycyjna oferta promocyjna. Wczoraj popołudniu sporo klientów sklepu zapisanych do newslettera otrzymało wiadomości email z informacją, iż od godziny 00:01 dnia dzisiejszego do 8:59 rano, stosując specjalny kod w koszyku otrzymamy przygotowany dla nas rabat. Zabrakło jednak szczegółów dotyczących wysokości upustu oraz sprecyzowania, jakich artykułów on dotyczy.

Problem zaczął się właściwie tuż po północy, kiedy akcja wystartowała. Właściwie każdy produkt objęty był rabatem, m.in smartfony, laptopy, RTV oraz AGD. Testowo w koszyku umieszczona została gra na konsolę Playstation 4 – kultowy God of War. Po przejściu do finalizacji transakcji oraz wpisaniu kodu od ceny regularnej, która wynosiła 119 złotych odjęto aż 130 złotych, tak więc cena finalna za tę grę wynosiła wówczas -11 złotych. Przy dodaniu do koszyka jeszcze dwóch sztuk tej samej gry, algorytm zsumował rabat i zamiast 357 złotych mieliśmy zapłacić… -33 złote. Całe zamówienie zobaczyć możecie poniżej.

Problem powstał podczas wybrania sposobu dostawy oraz po kliknięciu „Dalej”. Strona zaczęła się przeładowywać, trwało to dobrych kilka minut, po czym wyskakiwał błąd. Wszystkich żądnych niewiarygodnych okazji chcemy więc uspokoić, najprawdopodobniej błąd został już naprawiony i obecnie strona działa prawidłowo. Pamiętajcie, że nawet, gdyby takie zamówienie przeszło przez system, to prawdopodobnie zostałoby anulowane na dalszym etapie realizacji.

Artykuł Błąd na stronie MediaMarkt, nieprawdopodobne rabaty! pochodzi z serwisu TestHub.pl.

Błąd i reset sesji 90 milionów użytkowników

Wczoraj 28 października Facebook wylogował sporą liczbę użytkowników, którzy byli narażeni na przejecie ich danych. Co ciekawe zgodnie z informacjami przekazanymi przez Niebezpiecznik atakujący wykorzystali aż 3 błędy w celu przejmowania „tokenu”, dzięki któremu mogli się dostać do konta ofiary.

Atakujący wykorzystali w sumie 3 błędy. Pierwszy z nich pokazywał przycisk pozwalający wgrywać video podczas oglądania czyjegoś profilu poprzez funkcję “View As”. Przycisk ten nie pojawiał się zawsze, ale wtedy, kiedy oglądany profil miał “post specjalny”, np. w trakcie urodzin, na postach “zachęcających do składania życzeń”. Analiza podpiętego pod przycisk skryptu pozwalała na wyciągnięcie tokena pasującego do konta osoby, którą użytkownik ustawiał jako ta, której oczami chciał oglądać swój profil. A ten token można było wykorzystać do zalogowania się do aplikacji mobilnej… Atakujący, aby zebrać 50 milionów tokenów, musieli zautomatyzować atak. Z przejętego konta, pobierali tokeny wszystkich znajomych ofiary i potem znajomych znajomych, i tak dalej. “Szum” wygenerowany takim działaniem na masową skalę postawił Facebooka na nogi. 

Hasła nie wyciekły

Atakujący uzyskiwali dostęp do kont użytkowników przy pomocy tokenów, stąd nie wymaga się zmiany hasła na Facebooku, gdyż one nie zostało ujawnione. Co ciekawe i jednocześnie smutne dwuskładnikowe uwierzytelnianie nie uchroni nas w przypadku przejęcia naszego tokenu, który generowany jest tuż po zalogowaniu się do Facebooka. Tym samym niestety, ale nic w tym przypadku nie mogło uchronić użytkowników przed wrogim przejęciem kont. Tylko sam Facebook poprawiając błąd mógł zapobiec przejęcia. Więcej szczegółowych informacji o tym incydencie znajdziecie oczywiście w niebezpieczniku.

Grafika tytułowa: pexels.com / Źródło: niebezpiecznik.pl

Artykuł Facebook wylogował dziś 90 milionów użytkowników z powodu poważnej dziury pochodzi z serwisu TestHub.pl.