Można było pobrać dane milionów klientów – wystarczyło umieć… dodawać

Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!).

Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze, w ten sposób można było otrzymać podstawowe dane klienta (w tym jego nr telefonu):

https://delivery.panerabread.com/foundation-api/users/uramp/7382194

7382194 to id użytkownika – identyfikatory były… sekwencyjne.

W kroku drugim można było użyć takiego requestu („zasilając” go numerem telefonu):

https://delivery.panerabread.com/foundation-api/users/by-phone/9140000000

dawał on dostęp do kolejnych danych użytkownika. Sumarycznie był dostęp do: emaili, telefonów, dat urodzenia, ostatnich 4 numerów kart kredytowych i fizycznych adresach.

Co dalej? Okazuje się, że podatność została zgłoszona do firmy, około 8 miesięcy temu i… całkowicie zignorowana.

Po nagłośnieniu sprawy, problem został załatany poprzez… ograniczenie możliwości dostępu do danych klientów, tylko dla osób posiadających konta (czyli klientów :) Brian Krebs pisze o prawdopodobnej możliwości dostępu do około 37 milionów kont klientów.

Strona panabread.com obecnie nie odpowiada.

PS
Dużo tego typu przypadków (prostych, ale też zaawansowanych) omawiamy na naszym szkoleniu z bezpieczeństwa API REST.

–ms