Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Raport ze zgłoszenia podatności: dostęp do wrażliwych danych użytkowników aplikacji IVECO ON

17 lutego 2023, 09:13 | W biegu | komentarzy 6
Tagi: , ,

Jeden z czytelników sekuraka przesłał nam opis ciekawego znaleziska (znalezisk) w aplikacji IVECO ON. Dla pewności – obecnie wszystkie wskazane podatności są obecnie załatane. Aplikacja jest globalna a IVECO wylicza tak jej zalety. Mamy tutaj: Informacje na temat floty  oceny stylu jazdyemisji CO2 w celu poprawy ogólnej wydajności i zrównoważonego rozwoju. Można również monitorować trasy pojazdów.

Przechodząc od razu do rzeczy – z poziomu zalogowanego użytkownika widoczne było tego typu żądanie:

Co myśli każdy badacz bezpieczeństwa widząc taki pasek URL (parametr z liczbą na końcu). Tak, myśli żeby podmienić liczbę na inną i być może uzyskać dostęp do (w tym przypadku) kontraktu innego użytkownika.

Dzięki takiej prostej podmianie czytelnik miał możliwość zobaczenia danych kontraktowych innych użytkowników, np.: PESEL – jeśli samochód był zakupiony na klienta indywidualnego, VIN samochodu, nr rejestracyjny, data rejestracji, itd:

Użytkownik zgłosił problem do Iveco za pomocą formularza kontaktowego. Pierwsza próba kontaktu:

Jak widać trafiło to bardziej w miejsce obsługujące problemy stricte biznesowe, zatem zgłoszenie zostało wysłane w kolejne miejsce:

Podatność została naprawiona po 17 dniach od zgłoszenia.

To jednak nie koniec historii – wcześniej uzyskując dostęp do kontraktów, czytelnik uzyskał dostęp do przykładowego VIN innego użytkownika. Zmieniając w pewnym żądaniu VIN właśnie na inny – wg relacji – można było uzyskać dostęp do 'panelu administracyjnego’ innego użytkownika (z raportu wiemy, że problem dotyczył najprawdopodobniej użytkowników praktycznie na całym świecie). Udało się przykładowo uzyskać dostęp do tras użytkownika, gdzie samochód się przemieszczał /  gdzie miał przystanki:

Ten błąd również został zgłoszony, a następnie naprawiony:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. djDziadek

    Pytanie czy Iveco jakoś podziękowało?

    Odpowiedz
    • Mati

      Poprosili tylko o potwierdzenie czy zgłaszający potrzebuje jeszcze ich pomocy XDD Gdzie w rzeczywistości powinni wynagrodzić to jakoś pieniężnie

      Odpowiedz
  2. Przemek

    Nie nie podziękowało, a jak zapytałem o jakieś Bug bounty zostałem bardzo nieprzyjemnie potraktowany ale trudno sam używam tej aplikacji j nie chciał bym żeby ktoś miał dostęp do mojego pesel tego gdzie jestem i jak podróżuje moje auto.

    Odpowiedz
  3. Ragnar

    Nie pomagajcie więcej ten firmie nieprzyjemni ludzie jak widać nawet pomocy nie udzielil, niech sami się liczą z karami i konsekwencjami

    Odpowiedz
    • Jak coś znajdziemy / albo ktoś nam zgłosi – to tak czy siak wyślemy do nich

      Odpowiedz
    • Przemek

      Ale ja tez jestem użytkownikiem a jak by moje dane gdzieś latały to tak nie hallo

      Odpowiedz

Odpowiedz