Раскрытие личных данных о 100 миллионах человек

Статья является переводом и ведется со слов автора, оригинал тут.

• Я проводил консультации по тестированию безопасности по всему миру и часто путешествую, чтобы выступать на международных конференциях.

Вот история о том, как я обнаружил уязвимость, которая могла позволить мне украсть личную информацию более чем 100 миллионов человек. Это, безусловно, самый крупный (по количеству людей) взлом, который я когда-либо делал ... и это было даже не для работы.

Не так давно я планировал выехать из штатов по работе, поэтому мне нужна была виза.

Если вы когда-либо подавали заявку на такую услугу, вы знаете, что некоторые страны передают эту услугу сторонним поставщикам. Этот этого не сделал. У них был правительственный офис и веб-сайт для проверки паспорта и подачи заявления на получение визы.

Я все это сделал сам. Я создал учетную запись, загрузил все свои паспортные данные, ответил на личные вопросы, загрузил фотографии и т.д.

Где-то в конце процесса меня спросили, не хочу ли я оплатить “срочную” услугу. Я сделал. Мне это было нужно как можно скорее для рабочей поездки. Я также ввел данные своей кредитной карты.

Ближе к концу процесса подачи заявки мне была предоставлена ссылка для проверки статуса моего заказа, что-то вроде:

https://threat.dev/app/orderCheck

Эта страница побудила меня войти в систему, используя учетные данные, которые я настроил ранее. Затем он перенаправил меня в раздел "Мой аккаунт", где я увидел статус своего заказа. На странице я заметил, что могу распечатать заявку на заказ одним нажатием кнопки.

Я навел курсор на кнопку, и ссылка выглядела примерно так:

https://threat.dev/app/printApplication?id=105608983

Нажатие на эту кнопку вернуло страницу для печати со всей моей информацией, указанной выше.

Так что... даже когда я не работаю, мой мозг никогда не выключается.

Этот номер - 105608983… Что, если я изменю его на 105608982? Номер прямо передо мной?

Конечно, приложение распознало бы, что это не мой идентификатор, верно?

К сожалению, для меня и всех заявителей до меня ответом было “Нет”. Делаю запрос:

https://threat.dev/app/printApplication?id=105608982

• Вернул личную информацию другого пользователя. Очень грустно(

Этот тип веб-уязвимости обычно называется IDOR (небезопасная прямая ссылка на объект).

Я обнаружил эту ошибку совершенно по фану, поэтому начал очень нервничать из-за обнаружения такой большой ошибки на правительственном сайте, в стране которой я и путешествовал. Я должен был найти способ ответственно раскрыть это, не нарываясь на неприятности. Я связался с несколькими друзьями, работающими в сфере информационной безопасности. К счастью, один из них знал кого-то, кто работал в сфере кибербезопасности на это правительство. Они попросили, чтобы я передал им письменный отчет. Я сделал это, а затем работал с ними, чтобы повторно протестировать проблему, как только будет введено исправление.

Я обнаружил еще 4 уязвимости в этом процессе, одна из которых заключалась в том, что резервное копирование базы данных в tar-файл осуществлялось в том же месте, куда загружались пользовательские изображения. На этом общем ресурсе не было аутентификации. В базе данных были номера кредитных карт. Если вы тестируете безопасность, и набрели на моё чтиво, всегда проверяйте /backup или наличие резервных копий zip / tar-файлов.

В конце концов, они были благодарны за раскрытие информации и мою работу.

Я даже не получил футболку, но, возможно, я спас ваши личные данные от корыстной цели хакеров.