Desejando manter o anonimato, o leitor de Zaufanatrzeciastrona.pl enviou ao site uma descrição do erro de correio da Onet, que permitia a qualquer utilizador do serviço descarregar correio, contactos e dados de outros utilizadores.
Os dados podem ser recuperados graças à função de recuperar uma cópia dos seus dados. Após o login, o usuário poderia enviar uma solicitação ao servidor, em resposta à qual recebia uma lista do conteúdo do diretório contendo os arquivos de outros usuários (atuais e históricos). Os arquivos puderam ser baixados sem problemas.
“Isso não deveria acontecer em uma empresa séria em relação aos dados do cliente”
“O nosso leitor descobriu uma das falhas de segurança mais populares, nomeadamente a possibilidade de obter acesso não autorizado ao catálogo com dados do cliente. A obtenção do acesso exigia o uso de um truque com codificação adicional de caracteres especiais, mas não deveria acontecer em uma empresa séria em relação aos dados do cliente ”- enfatiza Adam Haertle, editor-chefe do Zaufanatrzeciastrona.pl.
Leia também: Não é fácil defender-se de Pégaso, mas os cidadãos comuns não têm motivos para temer
Onet corrigiu o bug depois que o leitor foi relatado. Zaufanatrzeciastrona.pl perguntou ao portal, incl. ele confirma a existência do erro, quantos usuários ele poderia ter afetado e se Onet notificará os usuários cujas caixas de correio estavam em risco. “A vulnerabilidade foi relatada para nós em 30 de junho, foi tratada com a maior prioridade e corrigida no mesmo dia. (…) Foi possível estabelecer que a vulnerabilidade foi usada apenas pela pessoa que relatou o bug ”, respondeu Agnieszka Skrzypek-Makowska do escritório de comunicação Ringier Axel Springer Polska.
Zaufanatrzeciastrona.pl acrescenta que o erro provavelmente pode estar relacionado aos usuários que usam o e-mail, calendário, catálogo de endereços ou função de exportação de dados do usuário. O site aconselha os usuários dos serviços da Onet a perguntarem ao portal se seus dados caíram em mãos erradas. “Erros acontecem com todos, mas a possibilidade de recuperar a caixa de correio de outra pessoa em 2021 não soa como uma recomendação para continuar usando os serviços desse provedor”, acrescenta Haertle.
Recentemente, a Onet lançou um novo serviço chamado “remetente verificado” em sua plataforma de e-mail. É para permitir maior controle de segurança das remessas planejadas e melhorar sua visibilidade nas caixas de e-mail.
