Компания goHardDrive устроила утечку данных тысяч клиентов из-за небезопасного портала
Разработчик Майкл Линч случайно обнаружил, что компания goHardDrive (GHD), занимающаяся продажей восстановленных жёстких дисков, устроила утечку персональных данных клиентов через небезопасный портал проверки статуса RMA (возврата товара). Как он рассказал в своём блоге, любой желающий мог получить доступ к личной информации клиентов, просто введя номер RMA (в формате GHD00000) на сайте ghdwebapps.com/rma.
Портал отображал полные данные клиентов, включая имя, почтовый адрес, email, номер телефона, дату и номер заказа, а также информацию о возвращаемом товаре и причине возврата. При этом никакой аутентификации не требовалось — достаточно было подобрать действующий номер RMA.
«Оптимизация по распространённым почтовым индексам и номерам домов означает, что у злоумышленника есть >50% шанс на успех после примерно 50 тысяч попыток»
После уведомления Линча компания добавила дополнительные поля для ввода — почтовый индекс и номер дома. Однако, как отмечает разработчик, это не решает проблему: зная, что в США около 42 000 почтовых индексов, а номера домов обычно находятся в диапазоне от 0 до 100, злоумышленник может автоматизировать подбор, затратив всего $0.30 в час (около 25 руб.) для проверки 40 000 комбинаций в секунду.
В итоге GHD полностью закрыла портал проверки статуса RMA, предложив клиентам запрашивать информацию по email. За обнаружение уязвимости компания предложила Линчу символическое вознаграждение — $20 (около 1650 руб.) к возврату за покупку на $330 (~27 300 руб.), что значительно меньше стандартных выплат по программам bug bounty.
Источник: Tomshardware.com
0 комментариев