Manu Pitkänen
28. joulukuuta, 2011 15:51
Pizza Servicen tilauspalvelusta on löydetty tietoturva-aukko, jonka avulla kuka tahansa saattoi päästä käsiksi toisen tekemän ruokatilauksen tietoihin.
Aukko on jo korjattu, joten toisten tietoja ei pääse enää tirkistelemään. MuroBBS-keskustelupalstalla raportoitu ongelma on tullut palvelun ylläpitäjän mukaan todennäköisesti aiemman järjestelmäpäivityksen mukana. Asiasta uutisoi MikroPC.
Toisten tilaustietoihin pääsi käsiksi yksinkertaisesti muuttamalla tilauspalvelun url-osoitteesta löytyvää OrderId-arvoa. Arvo oli juokseva, joten niiden keksiminen oli erittäin yksinkertaista.
Aukkoa hyödyntämällä sai selville tilauksen tehneen puhelinnumeron, sähköpostiosoitteen, nimen, osoitteen, tilatut ruoat ja juomat sekä muita tietoja.