Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)

W pewnym skrócie, całość sprowadza się do następujących punktów:

• Stworzenie swojego sklepu (z własnym emailem – jako loginem)
• Przeedytowanie w module POS (Point Of Sale) maila i tutaj wskazania adresu e-mail ofiary (tj. loginu sklepu, który chcemy przejąć). Co ciekawe w tym momencie shopify nie wymagał potwierdzenia, że posiadam tego maila. Efekt jest taki, że mamy niejako dwa e-maile przypisane do konta (główny, oraz właśnie w module POS)
• Skonfigurowanie tzw. Shopify ID, czyli jednego e-maila i hasła umożliwiającego logowanie się do sklepów (czy ogólnie zasobów), którymi zarządzam.
• W tym momencie Shopify widział, że mam przypisane do konta dwa różne emaile (loginy), więc sprawdzał jakimi sklepami te loginy są w stanie zarządzać, a następnie przyznawał do nich uprawnienia. Efekt osiągnięty, atakujący ma dostęp do zarządzania cudzym sklepem.

–ms