הרגל אבטחה של אתר KSP - צרכנות - HWzone פורומים
עבור לתוכן
  • צור חשבון

הרגל אבטחה של אתר KSP


blatman23
 Share

Recommended Posts

רציתי להביא לידיעת הציבור הרגל קטן  של אתר KSP.

לאחר ההזמנה, מקבלים עמוד שבו ניתן לראות את מספר הטלפון, ההזמנה, תשלומים ואמצעי לשום, פריטים שהוזמנו ותאריכים של הכל, כולל יכולת לערוך ולשנות את ההזמנה לרבות הוספת פריטים וביטול

עריכה: נראה ששינוי פרטי ההזמנה והוספת פריטים אינה אופציה, אלא רק ביטולה. למרות שאני יכול להשבע שזמן קצר אחרי ההזמנה הייתי יכול להשתמש בטופס זה להוספת פריטים.

 

בעיות:

1. הלינק מכיל את מספר הטלפון בתוך הכתובת  - ובפרטי השילוח מופיע המייל והכתובת המדוייקת של הקונה.

2.  (ראה "עריכה" 2 שורות מעלה) - אפשר לפעול על ההזמנה בצורה של ביטול, ללא הרשאה בשימוש בלינק בלבד.

 

 

אני מן הסתם לא אשים את הלינק של ההזמנה שלי כי כולכם תוכלו לראות הכל בלחיצה אחת ללינק פשוט וקצר, אבל תוכלו לבדוק זאת בעצמכם. לכו לעמוד סטטוס הזמנה, תעתיקו את הלינק ותשלחו לכל חבר.... 

 

לגבי כמה חמורה הבעיה, כל אחד ישפוט לפי סטנדרטי הבטיחות שלו. לא מדובר בדליפות אשראי או כל מיני דברים רציניים אבל זה ממש ניינטיז הלינקים הציבוריים האלה.

 

בכיר KSP שקורא את זה: יש לכם מחירים טובים ואחריות מצויינת, הגיע הזמן גם לעטוף את החבילה באתר מאובטח והרגלים מעודכנים ל2020.

 

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

במקרה ביצעתי מהם הזמנה השבוע ובדקתי ומה שהוא אומר אכן נכון וזה פשוט הזוי לחלוטין.
מצורפת תמונה ערוכה מעט(ללא מספר הטלפון המלא וללא מספר ההזמנה או תוכן ההזמנה)(מקווה שערכתי מספיק, אם נשאר פרט מידע אישי אשמח אם תגידו לי שפספסתי).
הכתובת של הדף מורכבת ממספר הטלפון שלי ואז מספר ההזמנה עם מקף, ביזיון דיי רציני.

עריכה: רק להבהרה עשיתי copy paste לכתובת ישר לincognito וכמובן שלא נכנסתי לאתר כרגיל.
עריכה2: אני לא רואה שום דרך לשנות את תוכן ההזמנה או להוציא ממנה מידע שימושי חוץ מתוכן ההזמנה או שם המזמין(את הטלפון חייבים לדעת כדי להגיע בכל מקרה) אז לא יודע כמה זה קריטי או חמור, אבל אני בטוח שיכלו דיי בקלות לקדד את זה באיזושהי צורה או שיעשו שתהיה חייב להיות מחובר למשתמש המזמין כדי לגשת למידע.

1.png

נערך על-ידי Moon-Mage
קישור לתוכן
שתף באתרים אחרים

אכן זה בדיוק העמוד, MOON....

KSP לא עונים בטלפון לכן אין טעם לנסות להתקשר. הם גם אומרים באתר שאין מענה טלפוני.

 

Multicore  - אין קשר בין אינקוגניטו  לבין המקרה המתואר..  מפני שאין קשר לעוגיות מקומיות או טביעות אצבע מקומיות אחרות. לצורך העניין אתה יכול לשלוח את הלינק בוואטסאפ למישהו בארה"ב והוא יוכל לעשות שינויים וחיובים על הויזה שלך מכל ללא שום יכולות טכניות...     מדובר פשוט בחוסר תשומת לב/מערכת צ'ק אווט זולה שמתאימה לשנות ה90 של האינטרנט ואפשר, עם רצון, לסדר זאת במהירות.

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

MOON , 

כשלוחצים פנה לצוות המכירות אתה נפגש בעמוד הזה בו תוכל לעשות שינויים ממשיים, כלכליים להזמנה ללא אישור טלפוני. 

גם אם לא היתה האפשרות הזאת, זה חמור מאד לכל אתר שמנהל את פרטי האשראי שלך. שום מידע לא צריך להיות חשוף בלינק, ושום מידע אישי לא צריך להיות מנותק מהרשאות. 

 

כמישהו עם רקע בתקיפות דיגיטליות אני יכול להגיד לך שזה חמור.. חמור מאד. 

 

עריכה: הסטטוס שם השתנה ל"לא ניתן לשנות פרטים" - אני יכול להשבע שהיה שם "לכל שינוי אנא פרט כאן " 

ניתן להוכיח  זאת עפ"י זה ששם הטופס  הוא יצירת בקשה חדשה.

 

 

 

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

ניתן לעשות שינויים MOON, אני יכול לבטל את ההזמנה שלך. וכמו שאמרתי, לפרק זמן מסויים לאחר ההזמנה ניתן לעשות שינויים. תעשה טסט על הזמנה חדשה בפעם הבאה ותראה ש"ניתן להכניס כאן שינויים" ירשם שם.

 

אני לא אתן לאף אחד רעיונות כאן, אבל כל מה שאני צריך זה רשימת מספרי טלפון ורנדומייזר על התבנית מספרי הזמנה של KSP, וזה יכול להיות פרוייקט סופ"ש מגמת מחשבים נחמד לPROOF OF CONCEPT...

 

בכל מקרה, כמו שאמרתי, כל אחד ישפוט זאת עפ"י מה הוא מחשיב חמור או לא. 

הפוסט מוצג כשירות לKSP ולציבור, באהבה והנאה.

 

 

ציטוט

<h4 class="modal-title">יצירת בקשה חדשה עבור הזמנה מס&#039; XXXX</h4>

ציטוט

<span class="input-group-addon">מס' הטלפון אליו ישלח הקישור</span>

ציטוט

<button id="cadd-order-request-order-modal-trigger" class="btn btn-primary" data-toggle="modal" data-target="#add-order-request-order-modal">פנה לצוות המכירות</button>

ציטוט

 

ציטוט

<input type="email" value="XXXXXXX@gmail.com" style=" width: 100%; direction: ltr;" >

 

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

TL;DR

שורה תחתונה: אין, לעניות דעתי, שום בעיית בפוסט הנל, ואין שום מקום לחשש או לדאגה להזמין מהאתר.

 

שׁלום לכולם,

כלקוח קבוע של KSP מעט נלחצתי מהפוסט הזה, ורציתי לאמת אותו, לכן נכנסתי לאתר וביצעתי הזמנה של דבר קטן (30 שח, שבמילא הייתי צריך), עברתי את כל שלבי ההזמנה ובסיומה, העתקתי את הקישור שנתנו לי ופתחתי אותו במחשב אחר ובמצב פרטי (אינקוגניטו), הדף שהגעתי אליו אמנם הראה את פרטי ההזמנה אבל לא היה ניתן לבצע שום שינוי בכמויות או בכל דבר אחר, זה היה דף ״לקריאה בלבד״. בנוסף בדקתי את כתובת הקישור והיא אכן מורכבת ממספר הטלפון שלי ומספר ההזמנה ועוד מספר בן תשע ספרות, לדוגמא:

https://ksp.co.il/cart/order-tracking/0521234567-4123456-123456789

 

איני רואה מצב שבו מישהו יכול לנחש בדיוק רב גם את מספר הטלפון וגם את מספר ההזמנה וגם מספר בן תשע ספרות שלא ידוע כרגע מה משמעותו, יוצא מזה שכדי לראות את הפרטים של ההזמנה שלי (לא ניתן לראות פרטי אשראי) צריך לנחש רק 16 ספרות וזה כאשר ידוע מספר הטלפון. לעניות דעתי, זוהי סבירה לחלוטין. 

 

שורה תחתונה: אין, לעניות דעתי, שום בעיית בפוסט הנל, ואין שום מקום לחשש או לדאגה להזמין מהאתר.

 

הערות:

1. למי שחושב שטעיתי במשהו, יש לי הקלטה של המסך שלי לאורך כל שלבי ההזמנה מהדף הראשון ועד פתיחת הקישור במחשב אחר. ומוזמן לפנות אליי בפרטי שאוכיח לו.

2. בעת ההזמנה מילאתי את פרטי כרטיס האשראי שלי (בניגוד לבקשה לטלפון חוזר לצורך מסירת פרטי אשראי)

 

@blatman23 - אין שום אמת בפוסט שלך, עם כל הכבוד וללא שום רצון לפגוע בך.

יום נעים לכולם.

נערך על-ידי kobiben
קישור לתוכן
שתף באתרים אחרים

קובי, בעולם הרטוריקה וההגיון הבריא,  אי אפשר לכתוב גם "הדף שהגעתי אליו אמנם הראה את פרטי ההזמנה" וגם "אין שום אמת בפוסט שלך" באותו פוסט.   או שאני משקר, וכתובתי, מספר התשלומים ומספר הטלפון שלי לא מוצגים בלינק ציבורי באינקוגניטו, או שאתה בעל אינטרס בKSP ולא קונה רגיל, אין אמצע.  אני מניח שאתה בעל אינטרס בKSP ולכן אדבר אלייך כאחד.

 

תעלה את הסרטון באמת שלך, שנוכל לראות את  הכתובת שלך, טלפון, כמה תשלומים עשית ומה הזמנת. אבל אל תמחק ותעשה טשטושים... אם לא אכפת לך אז אתה לא צריך להתבייש במה שכתוב שם ואיפה אתה גר. תעשה סרטון אמיתי, כי אם לא אכפת לך אז אין בעיה לשתף לינק ציבורי. אבל אני בספק שאתה תענה לבקשה שלי ... או שתסרב ותגיד " למה לי לחלוק לינק עם הכתובת שלי, אני שומר אותה אצלי ובזה נגמר הסיפור"   ועל זה אני אגיד שאין לך שום רקע באבטחת מערכות אם זה מה שאתה חושב, שזה גם בסדר, אתה סה"כ לקוח.

 

 

עלה לפוסט הראשון, שם תוכל למצוא את המשפט "לגבי כמה חמורה הבעיה, כל אחד ישפוט לפי סטנדרטי הבטיחות שלו"

 

דהיינו, כשאני קונה באמאזון, ניו אג, או חנויות אחרות, אין לינקים ציבוריים של ההזמנה שלי, כתובתי הפיזית, מספר הטלפון שלי וכמה תשלומים השתמשתי להזמנה.  זה מידע אישי, ובטח עוד שהלינק עצמו כבר מוסר מידע אישי בצורה חסרת אחריות.

 

אני לא אמרתי לך לא להזמין בKSP ולהפוך הוא- אני לא אפסיק לקנות מהם כי מעולם לא היתה לי בעיה מקצועית במעל עשור איתם, פשוט נתתי לך סטנדרט בינלאומי של איך מערכת צ'ק אווט מעודכנת אמורה לעבוד

אני אנסח את המשפט האחרון שלך מחדש, " Blatman23 - יש אמת בפוסט שלך, אכן הלינק ציבורי גם במחשב אחר, אך אי אפשר לעשות שינויים חוץ מביטול ההזמנה ושאילתא בשם הקונה ולכן אני חושב שזה לא משנה כי מה כבר אני צריך להסתיר שקניתי והמספר טלפון שלי, זה לא מזיק לאף אחד" 

אני מאמין שלזה התכוונת, וזה בסדר ולגיטימי.

 

אין פה שום עדות שלילית על מחירי או שירות KSP, להיפך, פעמיים נשרף לי ולא נתקלתי בשום מחסום בKSP תל אביב בנוגע לתיקון והחלפה.

הפוסט הראשון נערך כראוי, כדי לשקף את היכולת לעשות ביטול הזמנה בלבד ללא הרשאה ולא להוסיף פרטים על חשבון הויזה, כדי שישאר כולו אמת.

כאמור, הבעיה העיקרית היא מסירת פרטים אישיים לרבות כתובת, מספר טלפון תשלומי כרדיט, זמן הגעת שליח וכו' בעמוד ציבורי לחלוטין. מקובל עלייך, לא מקובל עליי.... הכל עניין יש פרספקטיבה ויחסיות.. 

 

הפוסט פונה למשתמשים מתקדמים שאכפת להם מהמידע האישי שלהם.  תודה על חוות דעתך.

 

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

קובי, היכן אתה ? אמרנו שתשים פה את הלינק של ההזמנה שלך, שנוכל לראות את כתובתך, שמך האמיתי, מספר החבילה, מספר התשלומים ופרטי ההזמנה. 

הרי אין שם שום דבר פרטי לדבריך, ואנחנו גם במצב רוח של לבדוק שאין שום אמת בפוסט שלי לדברייך.

 

ואם הפרטיות מתחילה ונגמרת ביד לינק שאפשר להעתיק לשורת הכתובת,שבמקרה עשוי ממזהים חצי ציבוריים בעצמו להוסיף חטא על פשע, עדיין תשמור את שאין אמת בפוסט שלי ?

 

אני כאן, מחכה להמשך הדיון ...  

 

 

 

 

נערך על-ידי blatman23
קישור לתוכן
שתף באתרים אחרים

בלאטמן, 

אני חושב שהמשפט הראשון שלך בדיון מסכם הכל. בעיית קטנה. ולדעתי קטנה מאוד. 

לינק ציבורי אתה יוצר גם כאשר אתה משתף קובץ מהדרייב שלך (אחת האפשרויות) וזו לא בעיית בשום צורה.

 

יחד עם זאת ראוי שksp אכן לא יעשו שימוש בלינק כזה אך תאמין או לא יש לכך סיבה. מה שכן, ניתן בהחלט ל"חזק" את הלינק בסט ארוך יותר ורנדומלי של תווים.

קישור לתוכן
שתף באתרים אחרים

הצטרפ/י לדיון

בשלב זה תוכל/י להצטרף לדיון, ולאחר מכן להצטרף לקהילה שלנו. אם כבר יש לך חשבון אצלנו, אנא התחבר/י עכשיו על מנת להגיב תחת שם המשתמש שלך.
לתשומת לבך: התגובה תופיע לגולשים לאחר אישור של צוות הנהלת הפורומים.

אורח
הוסף תגובה

×   התוכן שהודבק הוא עם עיצוב.   הסר עיצוב

  Only 75 emoji are allowed.

×   הקישור שלך הוטמע אוטומטית.   הצג כקישור רגיל

×   התוכן הקודם שלך שוחזר אוטומטית.   נקה הכל

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
  • צור חדש...