Разработчик Майкл Линч подал заявку на возврат товара (RMA) в компанию goHardDrive (GHD), занимающуюся продажей подержанных накопителей, и в процессе этого случайно обнаружил, что компания раскрывает данные клиентов через незащищенный портал проверки статуса RMA. Согласно его записи в блоге, статус любого RMA GHD можно проверить на сайте ghdwebapps.com/rma, введя номер RMA в формате GHD00000. После этого откроется страница с данными клиента, такими как имя, почтовый адрес, адрес электронной почты, номер телефона, номер и дата заказа, а также возвращаемые продукты и причина возврата.
Вся эта информация не представляла бы проблемы, если бы форма была закрытой. Однако любой может ввести любой действительный номер RMA, и веб-сайт вернет всю эту информацию без какой-либо аутентификации того, что вы являетесь владельцем RMA. GHD также использовала следующий URL-адрес для отображения всех этих данных: https://ghdwebapps.com/rma/check?rmaNo=GHD12345&fromButton=1.
Из-за этого практически любой может легко написать скрипт, который будет просматривать все возможные комбинации номеров RMA GHD и собирать данные о ее клиентах. Даже если вы не умеете программировать и не знаете, как использовать ИИ, чтобы попросить его создать скрипт для вас, вы можете просто ввести номера RMA на веб-сайте и вручную собрать конфиденциальную информацию.
Линч отправил электронное письмо в компанию, когда обнаружил утечку, и GHD ответила в течение двух часов, сообщив, что исправит проблему в течение трех-пяти рабочих дней. Хотя GHD не информировала его о ходе работы (Линчу пришлось самому связываться с компанией, чтобы узнать, что делается), она добавила еще две записи, которые необходимо ввести, чтобы раскрыть информацию о клиентах — почтовый индекс и номер дома. Хотя для обычного пользователя этого может показаться достаточно, для решительного хакера это довольно легкая задача.
В США около 42 000 действительных почтовых индексов, а номера домов обычно находятся в диапазоне от нуля до ста — это означает, что для получения действительного результата необходимо попробовать 4,2 миллиона возможных комбинаций для каждого номера RMA. Это может показаться большим числом, но Линч говорит: «Оптимизация по распространенным почтовым индексам и номерам домов, вероятно, означает, что у злоумышленника есть более 50 % шансов на успех после примерно 50 тысяч попыток».
Это все еще огромное число, если делать это вручную. Но распространенность серверов данных делает брутфорс гораздо дешевле в наши дни. Один исследователь в области безопасности потратил 0,30 доллара в час, что позволяет выполнять 40 000 проверок в секунду. Таким образом, если вы воспользуетесь этой услугой, вполне вероятно, что вы получите один действительный результат каждые три секунды.
Из-за этого GHD решила полностью устранить страницу статуса RMA — теперь она просит своих клиентов отправлять им электронные письма для получения обновлений статуса. Линч спросил, предлагает ли компания вознаграждение за обнаружение подобных ошибок, но, к сожалению, компания ответила, что у них нет такой программы. Тем не менее, в качестве благодарности они предложили ему возместить 20 долларов из его покупки на сумму 330 долларов.
Обратите внимание, что вознаграждения от программ по поиску ошибок, которые выявляют подобные уязвимости, варьируются от сотен до тысяч долларов, особенно с учетом того, что это может потенциально спасти компанию от штрафов, которые могут достигать миллионов долларов.
Оригинал
Уникальность
