Błąd na serwerze Gadu-Gadu. Dane użytkowników publicznie dostępne!

Komputer (Fot. Flickr/chispita_666/Lic. CC by)

Jeden z czytelników serwisu Niebezpiecznik.pl podzielił się swoimi spostrzeżeniami dotyczącymi bezpieczeństwa danych w sieci komórkowej GaduAIR, należącej do spółki GG Network. Internauta odkrył poważny błąd.

Wśród licznych funkcji GG10 można znaleźć między innymi sprawdzanie informacji o koncie GaduAIR. Obsługujący tę funkcję serwer odpowiadał na zapytania nawet bez nagłówka HTTP „Authorization”.

Pozwalało to na nieuprawniony dostęp do danych innych użytkowników. Luka umożliwiała sprawdzenie informacji o stanie konta, jak również dostęp do billingów użytkowników sieci GaduAIR.

Wybrano użytkownika Gadu-Gadu 10-lecia. Czym sobie biedak zasłużył?

Po poinformowaniu GG o problemie dostęp do wrażliwych informacji został ograniczony. Dane użytkowników są – przynajmniej do czasu wykrycia kolejnej luki ;) –  bezpieczne – podał blog Niebezpiecznik.pl.

W ramach podziękowania za pomoc w uniknięciu skandalu, który mógł narazić firmę na spore straty, odkrywca zagrożenia został wspaniałomyślnie nagrodzony możliwością… darmowego pobrania 5 opisów graficznych!

Jak sądzicie, czy GG powinno wyżej cenić dane użytkowników? :P