Full Disclosure mailing list archives

Previous By Date Next
Previous By Thread Next

Multiple vulnerabilities in Huutopörssi's website (huutoporssi.fi)

From: Wub TheCaptain <wubthecaptain () gmail com>
Date: Tue, 1 Dec 2015 02:39:05 +0000
In English
==========

Description
-----------

Multiple vulnerabilities have been discovered on huutoporssi.fi that can
potentially cause information disclosure and modification of personally
identifiable account data, cross-site scripting and account privilege
escalation.

Service
-------

huutoporssi.fi is a Finnish e-commerce auction site by Huutopörssi Oy
(Y-tunnus 27094385). The website vendor is Arttu Arojoki Tmi (Y-tunnus
20514033).

Vulnerabilities and issues
--------------------------

- Profile privilege escalation
- Profile cross-site scripting
- Information disclosure & modification of any profile
  - Name
  - Address
  - Business ID (Y-tunnus)
  - Phone number
- Password recovery sends plaintext passwords by email
- Plaintext protocol (HTTP) used for registrations/logins/site (not for
  financial transactions)

Remediation
-----------

The vendor has acknowledged the issues 1.5 months before this public
advisory.

At this time, huutoporssi.fi is unavailable which temporarily mitigates
these issues. A final resolution is expected in next upcoming months.

End-users: For now, there is no information of any known malicious abuse
of the vulnerabilities. Users of Huutopörssi should not need to take any
action to protect their account information. No passwords could be
disclosed with these vulnerabilities without a man-in-the-middle attack.

Users may contact Huutopörssi for questions.

Milestones
----------

- 2015-10-17: Details about the vulnerabilities are communicated to the
              vendor and company CEO.
- 2015-10-24: Asked for feedback.
- 2015-10-26: Vendor responds some vulnerabilities were patched, others
              are still a "work in progress".
- 2015-11-14: Vendor informed of intent to disclosure in two weeks.
- 2015-11-16: Vendor/CEO informs vulnerabilities won't be fixed timely
              due to cost of software development.
- 2015-1?-??: huutoporssi.fi becomes unavailable.
- 2015-12-01: Public release of advisory.

Suomeksi
========

Selvitys
--------

Useita haavoittuvuuksia on löydetty huutoporssi.fi sivustolta jotka ovat
mahdollistaneet informaatiovuodon ja -muokkauksen profiiliin tallennetuista
henkilötiedoista, cross-site scripting -haavoittuvuuden ja käyttäjätilin
käyttäjäoikeuksien korottamisen.

Palvelu
-------

huutoporssi.fi on Huutopörssi Oy:n (Y-tunnus 27094385) omistama
suomalainen verkkohuutokauppa. Verkkosivujen tekijä ja toimittaja on
Arttu Arojoki Tmi (Y-tunnus 20514033).

Haavoittuvuudet ja ongelmat
---------------------------

- Profiilin käyttäjäoikeuksien korottaminen
- Profiilin cross-site scripting -haavoittuvuus
- Informaatiovuoto ja informaatiomuokkaus missä tahansa profiilissa
  - Nimi
  - Osoite
  - Y-tunnus
  - Puhelinnumero
- Salasanan lähetys selkokielisenä sähköpostilla käyttäen
  salasananpalautusta
- Salaamattoman HTTP-protokollan käyttö
  kirjautumiseen/rekisteröintiin/profiileihin

Korjaus
-------

Verkkosivujen toimittaja on varmistetusti vastaanottanut tiedon
haavoittuvuuksista 1.5 kuukautta ennen tätä julkista
tietoturvatiedotusta.

Tällä hetkellä huutoporssi.fi verkkosivua ei pystytä saavuttamaan, joka
väliaikaisesti paikkaa nämä ongelmat. Lopullinen korjausratkaisu on
odotettavissa tulevien kuukausien aikana.

Loppukäyttäjät: Toistaiseksi ei ole tunnettua tietoa haavoittuvuuksien
väärinkäytöstä. Huutopörssin käyttäjien ei tarvitse toimia suojatakseen
käyttäjätilien tietoturvaa. Haavoittuvuuksilla ei ole voitu päästä
suoraan käsiksi nykyisiin salasanoihin.

Käyttäjät voivat olla yhteydessä Huutopörssiin kysymyksissä.

Aikalinja
---------

- 2015-10-17: Yksityiskohdat haavoittuvuuksista ilmoitettiin verkkosivun
              toimittajalle ja Huutopörssin toimitusjohtajalle.
- 2015-10-24: Palautteen kysely verkkosivujen toimittajalta.
- 2015-10-26: Verkkosivujen toimittaja vastaa että osa
              haavoittuvuuksista on korjattu, mutta osa on vielä "työn
              alla".
- 2015-11:14: Verkkosivujen toimittajalle ilmoitettu aikomuksesta
              julkaista tietoturvatiedotus.
- 2015-11-16: Verkkosivujen toimittaja/Huutopörssin toimitusjohtaja
              vastaa ettei haavoittuvuuksia voida paikata ajallaan
              kustannussyistä.
- 2015-1?-??: huutoporssi.fi päätyy saavuttamattomaksi.
- 2015-12-01: Julkisen tietoturvatiedotteen julkaisu.

-- 
OpenPGP: 496B 08C3 1B71 75B1 F9CF 4646 AC3D EEA2 3DFB F4C8
https://wubthecaptain.eu/wubthecaptain.asc

_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: http://seclists.org/fulldisclosure/
Previous By Date Next
Previous By Thread Next

Current thread: