Ste morda preko spleta kupovali spolne pripomočke?

Kupovanje spolnih pripomočkov v tim. “sex shopih” je povezano z določeno družbeno stigmo. Ljudem je praviloma neprijetno stopiti v fizično trgovino in kupiti enega izmed bolj ali manj eksplicitnih artiklov.

Po drugi strani pa lahko nakup kakršnega koli izdelka iz omenjene kategorije povsem enostavno in praviloma tudi bolj anonimno opravimo preko spleta. Klik ali dva, in čez nekaj dni nam poštar v nevpadljivi embalaži dostavi naročeni izdelek na dom.

Ostanejo pa digitalne sledi. Ime in priimek kupca, njegov naslov (za dostavo), kontaktni podatki (telefonska številka, e-naslov) in bančna transakcija. Ter seveda kaj je oseba kupila in kdaj. In ti podatki so občutljivi.

Ampak, trgovine s spolnimi pripomočki se tega zavedajo in podatke svojih kupcev skrbno varujejo. Konec koncev ne želijo izpostaviti svojih strank in s tem škoditi svojemu poslu, kajne?

Žal se v praksi izkaže, da temu ni vedno tako.

Anonimni vir nas je namreč opozoril na dve spletni strani (sex-trgovina.si in portia-erotica.com), ki obe uporabljata isto platformo (Wordpress), predvsem pa sta imeli obe enako napako v zasnovi spletne trgovine.

Obe spletni strani sta namreč poleg nakupa omogočali tudi registracijo uporabnikov, kar sta sporočali z dobro vidnim gumbom na desni strani zgoraj:

Seveda večini kupcev najverjetneje ne pride na misel, da bi si na takšni trgovini ustvarili račun, saj je kupovanje izdelkov mogoče tudi brez ustvarjenega uporabniškega računa. Uporabnik si ogleda vsebino, vpiše svoje podatke, plača in - čim prej zapre spletni brskalnik.

Za razliko od večine kupcev, pa je nekomu le prišlo na misel, da bi se registriral. In po registraciji se je zgodilo nekaj… nenavadnega.

Takoj po prijavi na portal, se je namreč na vrhu spletne strani samodejno pojavila Wordpressova administratorska vrstica za dostop do Wordpress nadzorne plošče. Naj dodamo, da za registracijo celo ni bilo potrebno vpisati veljavnega e-poštnega naslova:

V nadzorni plošči je bilo z nekaj klikanja moč najti dodatek WooCommerce v katerem je bilo mogoče pregledovati naročila in osebne podatke kupcev. Videti je bilo mogoče imena in naslove kupcev, kontaktne podatke (telefon, e-naslov) in seveda katere artikle so kupili, kdaj in po kakšni ceni.

Glede na to, da je spletišče omogočalo administratorski dostop, bi se verjetno dalo spreminjati tudi nabor artiklov in predvsem njihove cene. Zlonamerni napadalec bi si lahko na tak način omislil celo kakšen popust…

Enako se je obnašala tudi spletna trgovina portia-erotica.com. Najprej se je uporabnik lahko registriral in prijavil:

Nato pa je bilo že mogoče pregledovanje naročil:

In žal je spletna stran omogočala tudi pregledovanje podrobnosti naročil in tudi osebnih podatkov kupcev:

Naj dodamo, da smo na eni omenjenih spletnih trgovin med kupci slučajno opazili tudi enega izmed znanih Slovencev, kar še dodatno kaže na resnost problema…

Najhuje pa je, da pri celotni zadevi sploh ni šlo gre za kakršnekoli vdor ali varnostno ranljivost v programski kodi. Šlo je zgolj in izključno za napako pri nastavitvah Wordpressa, kar kaže na malomarnost izvajalca, ki je postavil spletno stran. Še posebej zaskrbljujoče pa je, da se je to zgodilo na tako občutljivem področju, kot je nakupovanje spolnih pripomočkov preko interneta.

Informacije o varnostnem incidentu smo prejšnji teden posredovali Informacijskemu pooblaščencu in na SI-CERT. Iz SI-CERT-a so nam nato sporočili, da so upravljavca spletne trgovine o zadevi obvestili, nekaj dni po tem pa še, da jih je upravljavec spletne strani obvestil, da so napako odpravili. Od predvčerajšnjim prijava na omenjeni spletni strani ni več mogoča.