Wirtualna Polska zamknęła lukę w serwisie poczta.wp.pl [Aktualizacja]
Data: 24 lutego, 2010
Portal Wirtualna Polska zamknął lukę w swym serwisie poczty elektronicznej poczta.wp.pl. Przypomnijmy, że błąd projektowy pozwalał potencjalnemu intruzowi na przechwycenie danych logowania (nazwy użytkownika oraz hasła) należących do użytkowników tej popularnej usługi pocztowej. Problem ten wynikał z nieodpowiedniego zabezpieczenia (braku szyfrowania) procesu zmiany hasła.
Trzeba przyznać, że administracja WP poważnie potraktowała (chociaż nie otrzymałem od WP żadnej odpowiedzi na moje zgłoszenie problemu) wczorajsze doniesienia opublikowane m.in. w serwisie HARD CORE SECURITY LAB, dotyczące zagrożenia związanego z użytkowaniem serwisu poczta.wp.pl i jeszcze tego samego dnia wprowadziła szyfrowanie procesu zmiany hasła użytkownika.
Niestety, okazuje się, że podobny błąd (brak szyfrowania komunikacji w trakcie procesu zmiany hasła użytkownika) obecny jest również w serwisie poczta.o2.pl. Użytkownikom tej usługi pozostaje więc oczekiwanie na podjęcie odpowiednich kroków przez administrację portalu O2.pl.
[Aktualizacja]
Procedura zmiany hasła w serwisie poczta.o2.pl została dziś również zabezpieczona za pomocą szyfrowanego połączenia. Możemy o tym przeczytać w komunikacie Bezpieczna zmiana hasła przez SSL opublikowanym na stronie http://poczta.o2.pl/.
