Raport ze zgłoszenia podatności: dostęp do wrażliwych danych użytkowników aplikacji IVECO ON

Jeden z czytelników sekuraka przesłał nam opis ciekawego znaleziska (znalezisk) w aplikacji IVECO ON. Dla pewności – obecnie wszystkie wskazane podatności są obecnie załatane. Aplikacja jest globalna a IVECO wylicza tak jej zalety. Mamy tutaj: Informacje na temat floty  oceny stylu jazdy, emisji CO2 w celu poprawy ogólnej wydajności i zrównoważonego rozwoju. Można również monitorować trasy pojazdów.

Przechodząc od razu do rzeczy – z poziomu zalogowanego użytkownika widoczne było tego typu żądanie:

Co myśli każdy badacz bezpieczeństwa widząc taki pasek URL (parametr z liczbą na końcu). Tak, myśli żeby podmienić liczbę na inną i być może uzyskać dostęp do (w tym przypadku) kontraktu innego użytkownika.

Dzięki takiej prostej podmianie czytelnik miał możliwość zobaczenia danych kontraktowych innych użytkowników, np.: PESEL – jeśli samochód był zakupiony na klienta indywidualnego, VIN samochodu, nr rejestracyjny, data rejestracji, itd:

Użytkownik zgłosił problem do Iveco za pomocą formularza kontaktowego. Pierwsza próba kontaktu:

Jak widać trafiło to bardziej w miejsce obsługujące problemy stricte biznesowe, zatem zgłoszenie zostało wysłane w kolejne miejsce:

Podatność została naprawiona po 17 dniach od zgłoszenia.

To jednak nie koniec historii – wcześniej uzyskując dostęp do kontraktów, czytelnik uzyskał dostęp do przykładowego VIN innego użytkownika. Zmieniając w pewnym żądaniu VIN właśnie na inny – wg relacji – można było uzyskać dostęp do 'panelu administracyjnego’ innego użytkownika (z raportu wiemy, że problem dotyczył najprawdopodobniej użytkowników praktycznie na całym świecie). Udało się przykładowo uzyskać dostęp do tras użytkownika, gdzie samochód się przemieszczał /  gdzie miał przystanki:

Ten błąd również został zgłoszony, a następnie naprawiony:

~ms