“6 podatności” i problemy w kontakcie z Wired. Responsible disclosure czy wyciek?

22 listopada Dissent Doe – prowadząca serwis DataBreaches.net – otrzymała wiadomość w komunikatorze Signal. Po krótkim “hello” osoba po drugiej stronie poprosiła o pomoc w skontaktowaniu się z Condé Nast (globalna firma medialna stojąca m.in. za Wired). Wskazała, że kilka dni wcześniej zgłosiła podatność na jednej z ich stron, ale nie otrzymała odpowiedzi.

TLDR:

• Dissent Doe z DataBreaches otrzymała wiadomość od użytkownika “Lovely”, który twierdził, że odkrył podatność w serwisach Condé Nast (wydawca m.in. Wired). Poprosił o pomoc w kontakcie z firmą.
• Użytkownik twierdził początkowo, że pobrał dane tylko kilku kont, a gdy firma nie odpowiadała na zgłoszenia, stwierdził że ma dane ponad 33 milionów użytkowników i że podatność pozwala zmieniać hasła oraz adresy email dowolnych kont.
• Następnie część danych została opublikowana na forach. Badacze potwierdzili autentyczność kilku rekordów.
• Dane z wycieku trafiły do bazy Have I Been Pwned, ale Wired i Condé Nast nie wydały oficjalnego oświadczenia ani nie potwierdziły wystąpienia incydentu.

Tajemniczy użytkownik podpisany jako Lovely zapewnił, że nie interesuje go program bug bounty ani zapłata za znalezioną podatność, a jedynie poinformowanie firmy o jej wystąpieniu. Wysłał także zrzuty ekranu wiadomości wysłanych do WIRED i Condé Nast poprzez bezpośredni kontakt z dwoma pracownikami, którzy mieli zajmować się bezpieczeństwem.

Na dowód istnienia podatności, Lovely pokazał także informacje o koncie samej Dissent Doe. Dane te były prawidłowe. Te i później przekazywane pliki były w formacie JSON. W połączeniu z deklaracją Lovely, że pobrano dane tylko kilku użytkowników, może wskazywać na podatność typu IDOR.

Condé Nast nie posiada jednak pliku security.txt (RFC 9116), który wskazywałby jak zgłaszać im podatności. Nigdzie na swojej stronie nie ma też bezpośredniego kontaktu do działu bezpieczeństwa.

Użytkownik Lovely wskazał jednak, że podatność może dotyczyć danych ponad 33 milionów użytkowników. Dissent Doe skontaktowała się znanymi sobie osobami z Wired. Próbowała także poinformować samą Condé Nast, ale nie otrzymała od nich odpowiedzi.

Po kilku tygodniach nieudanych prób uzyskania odpowiedzi, Lovely stwierdził, że rozważa opublikowanie danych aby zwrócić uwagę firmy. Początkowo zapewniał, że pobrał dane jedynie kilku kont, a teraz miał dysponować już informacjami 33 milionów użytkowników. Rekordy te miały obejmować m.in. adresy e-mail, imiona i nazwiska, numery telefonów, adres fizyczny, płeć oraz nazwy użytkowników.

Lovely zadeklarował także, że wykorzystując znalezioną podatność może zmienić adres email oraz hasło dla dowolnego konta. Osoba z Wired, z którą się kontaktowano doprowadziła do zaangażowania w sprawę działu bezpieczeństwa firmy, który nawiązał kontakt z Lovely przyjął informacje o sześciu znalezionych podatnościach.

Na tym etapie nastąpiła pierwsza niezgodność, ponieważ użytkownik Lovely nie wspominał o tylu podatnościach w konwersacji z DataBreaches. Serwis wstrzymał jednak publikację do czasu, aż firma załata zgłoszone podatności. Ostatecznie wszystkie luki zostały zlikwidowane. Na pytanie, czy firma zapłaciła za zgłoszenie, Lovely odpowiedział: “jeszcze nie”.

Następnie Dissent Doe zlokalizowała dwa fora, gdzie użytkownik podpisany jako Lovely opublikował pliki mające pochodzić z wycieku w Wired i zapowiedział publikację większej ilości danych. Stawało się jasne, że atakujący okłamali DataBreaches, aby uzyskać pomoc w dotarciu do Condé Nast.

Pod jednym z wpisów na LinkedIn pojawiła się sugestia, że Lovely jest cyberprzestępcą, a więc DataBreaches pomaga cyberprzestępcom. Poniżej zamieszczamy pełny zrzut ekranu wraz z odpowiedzią Dissent Doe, której końcówkę pozwalamy sobie przetłumaczyć:

Mam nadzieję, że nie pomagałam cyberprzestępcy, ale jeśli Condé Nast nie dowiedziało się o podatności, która umożliwiła dostęp do 33 milionów kont, to czy skontaktowanie się z nią zaszkodziło jej, czy też pomogło?

Autorka w DataBreaches wskazała też, że na podstawie otrzymanych informacji nie żałuję prób kontaktu z Condé Nast i Wired. Na moment publikacji artykułu Condé Nast nie wydało żadnego publicznego oświadczenia.

Badacze z Hudson Rock porównali opublikowane pliki z posiadanymi logami infekcji infostealerami RedLine i Raccoon. Znaleźli pokrywające się rekordy, a więc najprawdopodobniej dane te faktycznie pochodziły z Wired.

Finalnie opublikowane dane trafiły również do bazy wycieków Have I Been Pwned. Serwis poinformował, że najnowsze rekordy pochodziły z września i obejmowały adresy email, nazwy wyświetlane, a także dla niewielkiej liczby użytkowników, ich imię, nazwisko, numer telefonu, datę urodzenia, płeć oraz lokalizację / pełny adres fizyczny.

Wired ani Condé Nast nie potwierdziły oficjalnie wystąpienia takiego incydentu. Jeśli jednak mieliście tam konto, polecamy zmienić swoje hasło. Jeśli tego hasła używaliście w innych serwisach, warto zmienić je także w nich (i na przyszłość stosować unikalne hasła dla każdego serwisu / aplikacji / usługi oraz przechowywać je w managerze haseł, np. Bitwarden). Nie mamy informacji o wycieku haseł w jakiejkolwiek formie, jednak nie znamy też pełnego zakresu danych dotkniętego podatnościami (niekoniecznie wszystko musiało zostać opublikowane).

Źródła:

• databreaches.net
• haveibeenpwned.com
• infostealers.com

~Tymoteusz Jóźwiak