Pénzcentrum • 2025. szeptember 22. 18:06
Súlyos biztonsági sérülékenységeket fedezett fel egy programozó az alberlet.hu oldalon, amelyek révén több mint 300 ezer felhasználó személyes adataihoz férhetett hozzá, és akár a böngészőjük felett is átvehette volna az irányítást.
A ColdUnwanted nevű programozó jelezte a Telexnek, hogy két komoly sérülékenységet talált az alberlet.hu oldalon: egy SQL Injection és egy cross-site scripting (XSS) támadási lehetőséget. Állítása szerint többször is értesítette erről az oldal üzemeltetőit, akik nem válaszoltak neki, de a hibákat kijavították.
Az SQL Injection sérülékenység kihasználásával a programozó több mint 300 ezer felhasználó személyes adatait tudta megszerezni, köztük IP-címeket, felhasználóneveket, e-mail címeket, telefonszámokat, jelszavakat (elavult MD5 titkosítással), lakcímeket és hitelesítő tokeneket. Emellett hozzáfért egy tranzakciókat tartalmazó adatbázishoz is, amely a SimplePay és a szamlazz.hu API-kulcsait is tartalmazta, utóbbi esetében titkosítatlan jelszóval együtt.
A másik sérülékenység, az XSS lehetővé tette, hogy a programozó módosítsa az oldal megjelenését, felugró üzeneteket jelenítsen meg, és akár kártékony kódot is elhelyezzen a honlapon. Ezt a hibát a lakáshirdetések címében és a felhasználónevekben lehetett kihasználni.
Az alberlet.hu a Telex megkeresésére elismerte az incidenst, és közölte, hogy szakértői csapat bevonásával vizsgálják az esetet. A portál kérdései után, öt nappal később tájékoztatót tettek közzé a honlapon, amelyben "külső, rosszhiszemű cselekménynek" nevezték a történteket, és jelezték, hogy bejelentették az esetet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
LAKÁST, HÁZAT VENNÉL, DE NINCS ELÉG PÉNZED? VAN OLCSÓ MEGOLDÁS!
A Pénzcentrum lakáshitel-kalkulátora szerint ma 20 000 000 forintot 20 éves futamidőre már 6,89 százalékos THM-el, havi 150 768 Ft forintos törlesztővel fel lehet venni az ERSTE Banknál. De nem sokkal marad el ettől a többi hazai nagybank ajánlata sem: a CIB Banknál 6,89% a THM, míg a MagNet Banknál 7,03%; a Raiffeisen Banknál 7,22%, az UniCredit banknál pedig 7,29%. Érdemes még megnézni magyar hitelintézetetek további konstrukcióit is, és egyedi kalkulációt végezni, saját preferenciáink alapján különböző hitelösszegekre és futamidőkre. Ehhez keresd fel a Pénzcentrum kalkulátorát. (x)
A programozó szerint az oldal üzemeltetői nem értesítették a felhasználókat az adatszivárgásról, amit az is alátámaszt, hogy több, a hashelt változatból visszafejtett jelszó hetekkel később is működött. Az alberlet.hu nem erősítette meg, hogy megkapta-e a programozó jelzéseit, de a sérülékenységeket a bejelentések után rendre kijavították.
Bár a konkrét sérülékenységeket már befoltozták, a programozó szerint az XSS védelmet még mindig meg lehet kerülni bizonyos módszerekkel. Emellett nem zárható ki, hogy mások is észrevehették és kihasználhatták a hibákat, így a felhasználók adatai továbbra is veszélyben lehetnek, különösen, ha ugyanazt a jelszót más oldalakon is használják.