Można było pobrać dane milionów klientów – wystarczyło umieć… dodawać

03 kwietnia 2018, 11:43 | W biegu | komentarze 3
Tagi: ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!).

Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze, w ten sposób można było otrzymać podstawowe dane klienta (w tym jego nr telefonu):

https://delivery.panerabread.com/foundation-api/users/uramp/7382194

7382194 to id użytkownika – identyfikatory były… sekwencyjne.

W kroku drugim można było użyć takiego requestu („zasilając” go numerem telefonu):

https://delivery.panerabread.com/foundation-api/users/by-phone/9140000000

dawał on dostęp do kolejnych danych użytkownika. Sumarycznie był dostęp do: emaili, telefonów, dat urodzenia, ostatnich 4 numerów kart kredytowych i fizycznych adresach.

Co dalej? Okazuje się, że podatność została zgłoszona do firmy, około 8 miesięcy temu i… całkowicie zignorowana.

Po nagłośnieniu sprawy, problem został załatany poprzez… ograniczenie możliwości dostępu do danych klientów, tylko dla osób posiadających konta (czyli klientów :) Brian Krebs pisze o prawdopodobnej możliwości dostępu do około 37 milionów kont klientów.

Strona panabread.com obecnie nie odpowiada.

PS
Dużo tego typu przypadków (prostych, ale też zaawansowanych) omawiamy na naszym szkoleniu z bezpieczeństwa API REST.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adam

    A moze tak Sekurak, napisal by, jak testowac REST/SOAP API?

    Odpowiedz
    • Jest w trakcie przygotowania tekst w tym temacie – do książki sekurakowej. Na razie ok 20 stron, a drugie tyle w przygotowaniu :)

      Odpowiedz
  2. Michał

    Panerabread*

    Odpowiedz

Odpowiedz