Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Raport ze zgłoszenia podatności: dostęp do wrażliwych danych użytkowników aplikacji IVECO ON
Jeden z czytelników sekuraka przesłał nam opis ciekawego znaleziska (znalezisk) w aplikacji IVECO ON. Dla pewności – obecnie wszystkie wskazane podatności są obecnie załatane. Aplikacja jest globalna a IVECO wylicza tak jej zalety. Mamy tutaj: Informacje na temat floty oceny stylu jazdy, emisji CO2 w celu poprawy ogólnej wydajności i zrównoważonego rozwoju. Można również monitorować trasy pojazdów.
Przechodząc od razu do rzeczy – z poziomu zalogowanego użytkownika widoczne było tego typu żądanie:
Co myśli każdy badacz bezpieczeństwa widząc taki pasek URL (parametr z liczbą na końcu). Tak, myśli żeby podmienić liczbę na inną i być może uzyskać dostęp do (w tym przypadku) kontraktu innego użytkownika.
Dzięki takiej prostej podmianie czytelnik miał możliwość zobaczenia danych kontraktowych innych użytkowników, np.: PESEL – jeśli samochód był zakupiony na klienta indywidualnego, VIN samochodu, nr rejestracyjny, data rejestracji, itd:
Użytkownik zgłosił problem do Iveco za pomocą formularza kontaktowego. Pierwsza próba kontaktu:
Jak widać trafiło to bardziej w miejsce obsługujące problemy stricte biznesowe, zatem zgłoszenie zostało wysłane w kolejne miejsce:
Podatność została naprawiona po 17 dniach od zgłoszenia.
To jednak nie koniec historii – wcześniej uzyskując dostęp do kontraktów, czytelnik uzyskał dostęp do przykładowego VIN innego użytkownika. Zmieniając w pewnym żądaniu VIN właśnie na inny – wg relacji – można było uzyskać dostęp do 'panelu administracyjnego’ innego użytkownika (z raportu wiemy, że problem dotyczył najprawdopodobniej użytkowników praktycznie na całym świecie). Udało się przykładowo uzyskać dostęp do tras użytkownika, gdzie samochód się przemieszczał / gdzie miał przystanki:
Ten błąd również został zgłoszony, a następnie naprawiony:
~ms
Pytanie czy Iveco jakoś podziękowało?
Poprosili tylko o potwierdzenie czy zgłaszający potrzebuje jeszcze ich pomocy XDD Gdzie w rzeczywistości powinni wynagrodzić to jakoś pieniężnie
Nie nie podziękowało, a jak zapytałem o jakieś Bug bounty zostałem bardzo nieprzyjemnie potraktowany ale trudno sam używam tej aplikacji j nie chciał bym żeby ktoś miał dostęp do mojego pesel tego gdzie jestem i jak podróżuje moje auto.
Nie pomagajcie więcej ten firmie nieprzyjemni ludzie jak widać nawet pomocy nie udzielil, niech sami się liczą z karami i konsekwencjami
Jak coś znajdziemy / albo ktoś nam zgłosi – to tak czy siak wyślemy do nich
Ale ja tez jestem użytkownikiem a jak by moje dane gdzieś latały to tak nie hallo