Wpadka Amazonu. Największy e-sklep na świecie upraszczał hasła internautów?
Popularny sklep internetowy Amazon nieprawidłowo zabezpieczał konta użytkowników i umożliwiał logowanie się nawet wtedy, gdy internauta nie znał całego hasła - tak wynika z doniesień niemieckiego serwisu Heise Online.
Amazon (Fot. Flickr/Jeff Sandquist/Lic. CC by)
Popularny sklep internetowy Amazon nieprawidłowo zabezpieczał konta użytkowników i umożliwiał logowanie się nawet wtedy, gdy internauta nie znał całego hasła - tak wynika z doniesień niemieckiego serwisu Heise Online.
Zgodnie z informacjami podanymi przez witrynę w niektórych sytuacjach skrypt na stronie WWW ignorował duże i małe litery. Uwzględniał też wyłącznie pierwszych 8 znaków hasła.
W praktyce więc ktoś posiadający hasło "paSSworD1234" mógł zalogować się również przy użyciu słowa "password". Jak widać, błąd znacznie zmniejszał siłę wielu kodów i ułatwiał włamania na niektóre konta.
Heise Online twierdzi, że luka dotyczy wyłącznie starych kont Amazonu, których właściciele od dawna nie zmieniali haseł. Aby pozbyć się problemu, należy po prostu zdefiniować nowy kod.
Czytelnicy Heise Online stwierdzili, że luka występuje w kontach, których hasła nie były zmieniane od 2007, 2008 lub 2009 r. Profil zmodyfikowany w 2010 r. był już odporny.
Nie jest do końca jasne, skąd wziął się ten błąd i dlaczego nie został wcześniej usunięty. Amazon nie skomentował doniesień niemieckiego serwisu. Brak też informacji o konkretnych przypadkach kradzieży danych osobowych związanych z tą luką.
Sprawa jest wbrew pozorom poważna, bo wielu internautów korzystających z Amazonu zapisuje w kontach numery kart kredytowych. Ułatwia to płatności (nie trzeba za każdym razem wypełniać formularza).
Dlatego dostęp do profili w największym e-sklepie na świecie powinien być szczególnie dobrze chroniony. Słabe hasło łatwiej złamać i tym samym uzyskać dostęp do ważnych informacji o użytkowniku.
Źródło: gHacks • Heise Online
