Uživatelé SEZNAM.CZ v ohrožení

Zranitelnosti Cross-Site Request Forgery (CSRF) na webu jsou velice choulostivou záležitostí, jejíž hrozbu si tvůrci webových aplikací buď nepřipouští nebo o ní nedej bože nevědí a tak můžete zranitelnost tohoto typu nalézt na mnoha webových stránkách. Napadlo mě prověřit si zabezpečení našeho největšího a nejznámějšího poskytovatele freemailových účtů společnost Seznam.cz. K mému údivu trpí webové rozhraní pro přístup k e-mailovým zprávám naprosto banální chybou, díky níž si uživatelé této služby nemohou být v žádném případě jisti svým soukromím. V krátkosti se vás nyní pokusím seznámit s touto konkrétní chybou, kterou jsem na Seznam.cz objevil.

Chyba se nachází v sekci nastavení účtu, kde si můžete zřídit přesměrování příchozích e-mailů do jiné e-mailové schránky. Útočníkovi stačí, když své oběti zašle e-mail s odkazem na www stránku, kde bude čekat zákeřný kód. Po kliknutí na takový odkaz se kód sám postará o vložení e-mailové adresy do tohoto seznamu.

Kód čekající na útočníkově stránce by mohl vypadat takto:

A zdrojový kód stránky seznam.html by mohl být takovýto:

Oběti se po kliknutí na odkaz zobrazí stránka www.soom.cz, která jí byla odesilatelem e-mailu doporučena. Na pozadí však útočník naprosto nepozorovaně vložil svou adresu do nastavení účtu oběti a veškerá příchozí pošta, která od této chvíle oběti přijde, bude přeposílána na útočníkův e-mail.

Co mě zarazilo u tak velké a známé společnosti, jakou Seznam.cz bezpochyby je, byla skutečnost, že před tímto typem útoku chyběla jakákoliv ochrana a že aplikace přijímá požadavky přicházející odkudkoli.

Ve stejnou chvíli, kdy uveřejňuji tento článek, zasílám oznámení o chybě i administrátorům společnosti Seznam.cz a jsem zvědav, jak dlouho jim bude náprava trvat.

Druhý den po odhalení chyby byly ze strany společnosti Seznam.cz učiněny kroky, směřující k opravě popsané chyby. Dnes již není možné touto cestou ohrozit soukromí uživatelů, za což lidem ze Seznam.cz děkujeme.