Când divulgarea responsabilă nu este suficientă

March 25, 2022March 25, 2022 vmfxdCând divulgarea responsabilă nu este suficientă 0 Comment

Moonpig este o cunoscută companie de felicitare în Marea Britanie. Puteți utiliza serviciile lor pentru a trimite felicitări personalizate prietenilor și familiei dvs. [Paul] a decis să facă unele săpat și au descoperit câteva vulnerabilități de securitate între aplicația Moonpig Android și API-ul lor.

În primul rând, [Paul] a observat că sistemul utilizează autentificarea de bază. Acest lucru nu este ideal, dar compania a folosit cel puțin criptarea SSL pentru a proteja acreditările clienților. După decodificarea antetului de autentificare, [Paul] a observat ceva ciudat. Numele de utilizator și parola fiind trimise cu fiecare solicitare nu au fost propriile acreditări. ID-ul său de client a fost acolo, dar acreditările reale au fost greșite.

[Paul] a creat un cont nou și a constatat că acreditările au fost aceleași. Prin modificarea ID-ului clientului în cererea HTTP a celui de-al doilea cont, a reușit să păcălească site-ul pentru a scuipa toate informațiile de adresă salvate din primul său cont. Aceasta a însemnat că în esență nu exista nicio autentificare. Orice utilizator ar putea imperona un alt utilizator. Tragerea informațiilor despre adresa nu poate suna ca o afacere mare, dar [Paul] susține că fiecare cerere API a fost așa. Acest lucru a însemnat că puteți merge până la plasarea comenzilor în alte conturi de clienți fără consimțământul lor.

[Paul] Fișierele API a API-ului Moonpig pentru a localiza metode mai interesante. Unul care sa remarcat la el a fost metoda GetcreditCardDetals. [Paul] a dat-o o fotografie, și suficient de sigur că sistemul a scos detaliile cărții de credit, inclusiv ultimele patru cifre ale cardului, data expirării și numele asociat cardului. Este posibil să nu fie numere de carduri complete, dar acest lucru este în mod evident o problemă destul de mare care ar fi rezolvată imediat … Dreapta?

[Paul] a dezvăluit vulnerabilitatea în mod responsabil la Moonpig în august 2013. Moonpig a răspuns spunând că problema se datorează codului vechi și ar fi fixat cu promptitudine. Un an mai târziu, [Paul] a urmat cu Moonpig. I sa spus că ar trebui să fie rezolvată înainte de Crăciun. La 5 ianuarie 2015, vulnerabilitatea nu a fost încă rezolvată. [Paul] a decis că a fost suficient de suficient, și ar putea să-și publice doar concluziile online pentru a ajuta la apăsarea problemei. Se pare că a funcționat. Moonpig a dezactivat de atunci API-ul său și a lansat o declarație prin Twitter, susținând că “toate informațiile despre parole și de plată sunt și au fost întotdeauna sigure”. Asta e minunat și totul, dar ar însemna un pic mai mult dacă parolele au avut loc de fapt.

Leave a Reply

Your email address will not be published. Required fields are marked *