In English ========== Description ----------- Multiple vulnerabilities have been discovered on huutoporssi.fi that can potentially cause information disclosure and modification of personally identifiable account data, cross-site scripting and account privilege escalation. Service ------- huutoporssi.fi is a Finnish e-commerce auction site by Huutopörssi Oy (Y-tunnus 27094385). The website vendor is Arttu Arojoki Tmi (Y-tunnus 20514033). Vulnerabilities and issues -------------------------- - Profile privilege escalation - Profile cross-site scripting - Information disclosure & modification of any profile - Name - Address - Business ID (Y-tunnus) - Phone number - Password recovery sends plaintext passwords by email - Plaintext protocol (HTTP) used for registrations/logins/site (not for financial transactions) Remediation ----------- The vendor has acknowledged the issues 1.5 months before this public advisory. At this time, huutoporssi.fi is unavailable which temporarily mitigates these issues. A final resolution is expected in next upcoming months. End-users: For now, there is no information of any known malicious abuse of the vulnerabilities. Users of Huutopörssi should not need to take any action to protect their account information. No passwords could be disclosed with these vulnerabilities without a man-in-the-middle attack. Users may contact Huutopörssi for questions. Milestones ---------- - 2015-10-17: Details about the vulnerabilities are communicated to the vendor and company CEO. - 2015-10-24: Asked for feedback. - 2015-10-26: Vendor responds some vulnerabilities were patched, others are still a "work in progress". - 2015-11-14: Vendor informed of intent to disclosure in two weeks. - 2015-11-16: Vendor/CEO informs vulnerabilities won't be fixed timely due to cost of software development. - 2015-1?-??: huutoporssi.fi becomes unavailable. - 2015-12-01: Public release of advisory. Suomeksi ======== Selvitys -------- Useita haavoittuvuuksia on löydetty huutoporssi.fi sivustolta jotka ovat mahdollistaneet informaatiovuodon ja -muokkauksen profiiliin tallennetuista henkilötiedoista, cross-site scripting -haavoittuvuuden ja käyttäjätilin käyttäjäoikeuksien korottamisen. Palvelu ------- huutoporssi.fi on Huutopörssi Oy:n (Y-tunnus 27094385) omistama suomalainen verkkohuutokauppa. Verkkosivujen tekijä ja toimittaja on Arttu Arojoki Tmi (Y-tunnus 20514033). Haavoittuvuudet ja ongelmat --------------------------- - Profiilin käyttäjäoikeuksien korottaminen - Profiilin cross-site scripting -haavoittuvuus - Informaatiovuoto ja informaatiomuokkaus missä tahansa profiilissa - Nimi - Osoite - Y-tunnus - Puhelinnumero - Salasanan lähetys selkokielisenä sähköpostilla käyttäen salasananpalautusta - Salaamattoman HTTP-protokollan käyttö kirjautumiseen/rekisteröintiin/profiileihin Korjaus ------- Verkkosivujen toimittaja on varmistetusti vastaanottanut tiedon haavoittuvuuksista 1.5 kuukautta ennen tätä julkista tietoturvatiedotusta. Tällä hetkellä huutoporssi.fi verkkosivua ei pystytä saavuttamaan, joka väliaikaisesti paikkaa nämä ongelmat. Lopullinen korjausratkaisu on odotettavissa tulevien kuukausien aikana. Loppukäyttäjät: Toistaiseksi ei ole tunnettua tietoa haavoittuvuuksien väärinkäytöstä. Huutopörssin käyttäjien ei tarvitse toimia suojatakseen käyttäjätilien tietoturvaa. Haavoittuvuuksilla ei ole voitu päästä suoraan käsiksi nykyisiin salasanoihin. Käyttäjät voivat olla yhteydessä Huutopörssiin kysymyksissä. Aikalinja --------- - 2015-10-17: Yksityiskohdat haavoittuvuuksista ilmoitettiin verkkosivun toimittajalle ja Huutopörssin toimitusjohtajalle. - 2015-10-24: Palautteen kysely verkkosivujen toimittajalta. - 2015-10-26: Verkkosivujen toimittaja vastaa että osa haavoittuvuuksista on korjattu, mutta osa on vielä "työn alla". - 2015-11:14: Verkkosivujen toimittajalle ilmoitettu aikomuksesta julkaista tietoturvatiedotus. - 2015-11-16: Verkkosivujen toimittaja/Huutopörssin toimitusjohtaja vastaa ettei haavoittuvuuksia voida paikata ajallaan kustannussyistä. - 2015-1?-??: huutoporssi.fi päätyy saavuttamattomaksi. - 2015-12-01: Julkisen tietoturvatiedotteen julkaisu. -- OpenPGP: 496B 08C3 1B71 75B1 F9CF 4646 AC3D EEA2 3DFB F4C8 https://wubthecaptain.eu/wubthecaptain.asc