Quando la divulgazione responsabile non è sufficiente
Moonpig è una famosa compagnia di biglietti d’auguri nel Regno Unito. È possibile utilizzare i loro servizi per inviare biglietti di auguri personalizzati ai tuoi amici e familiari. [Paolo] ha deciso di fare alcuni scavare e scoprire alcune vulnerabilità di sicurezza tra l’app Android Moonpig e la loro API.
Prima di tutto, [Paolo] notò che il sistema stava usando l’autenticazione di base. Questo non è ideale, ma la società è stata almeno utilizzando la crittografia SSL per proteggere le credenziali del cliente. Dopo aver decodificato l’intestazione di autenticazione, [Paolo] ha notato qualcosa di strano. Il nome utente e la password inviati con ciascuna richiesta non erano le sue credenziali. Il suo ID cliente era lì, ma le credenziali effettive erano sbagliate.
[Paolo] ha creato un nuovo account e ha scoperto che le credenziali erano uguali. Modificando l’ID cliente nella richiesta HTTP del suo secondo account, è stato in grado di ingannare il sito Web per sputare tutte le informazioni di indirizzo salvato del suo primo account. Ciò significava che non c’era essenzialmente alcuna autenticazione. Qualsiasi utente potrebbe impersonare un altro utente. Tirare le informazioni sull’indirizzo potrebbero non sembrare un grosso problema, ma [Paolo] afferma che ogni richiesta API era così. Ciò significava che potresti andare oltre il posizionamento degli ordini sotto gli altri conti dei clienti senza il loro consenso.
[Paolo] Utilizzato i file della Guida di API di Moonpig per localizzare metodi più interessanti. Uno che si fermò a lui era il metodo GetCreditCardDetails. [Paolo] ha dato un colpo, e abbastanza sicuro del sistema ha scaricato i dettagli della carta di credito, comprese le ultime quattro cifre della scheda, la data di scadenza e il nome associato alla carta. Potrebbe non essere numeri di carte completi, ma questo è ancora ovviamente un problema piuttosto grande che sarebbe stato risolto immediatamente … giusto?
[Paolo] ha rivelato la vulnerabilità responsabilmente a Moonpig nell’agosto 2013. Moonpig ha risposto dicendo che il problema era dovuto al codice legacy e sarebbe stato risolto prontamente. Un anno dopo, [Paolo] ha seguito con Moonpig. Gli fu detto che dovrebbe essere risolto prima di Natale. Il 5 gennaio 2015, la vulnerabilità non era ancora risolta. [Paolo] ha deciso che è stato abbastanza abbastanza, e potrebbe anche pubblicare le sue scoperte online per aiutare a premere il problema. Sembra aver funzionato. Moonpig ha disabilitato la sua API e ha rilasciato una dichiarazione tramite Twitter che afferma che “tutte le informazioni sulla password e le informazioni di pagamento sono e sono sempre state sicure”. È fantastico e tutto, ma significherebbe un po ‘di più se le password effettivamente importavano.