Britská inzertná stránka Gumtree.com utrpela porušenie údajov po tom, čo bezpečnostný výskumník odhalil, že mohol získať prístup k citlivým osobne identifikovateľným údajom od inzerentov jednoduchým stlačením F12 na klávesnici.
Keď vo webovom prehliadači stlačíte kláves F12, aplikácia otvorí konzolu nástrojov pre vývojárov, ktorá vám umožní zobraziť zdrojový kód webovej lokality, monitorovať sieťové požiadavky a zobraziť všetky chybové hlásenia vytvárané webovou stránkou.
Za primárne bezpečnostné opatrenie sa považuje, aby citlivé údaje neboli pri používaní webovej lokality verejne viditeľné, a to aj v prípade, že si prezeráte jej zdrojový kód.
Bezpečnostný výskumník Pen Test Partners Alan Monie však zistil, že mohol vidieť PII predajcov jednoducho tak, že si prezrel zdrojový kód HTML reklamy zobrazenej na webovej stránke Gumtree.
„Stránka mala veľa únikov. Všetky reklamy na stránke obsahovali PSČ predajcu alebo súradnice GPS, a to aj v prípade, že predajca požadoval skrytie mapy polohy predajcu. E-mailová adresa predajcu unikla a jeho celé meno bolo dostupné prostredníctvom jednoduchej zraniteľnosti IDOR,“ vysvetlila správa Monie.
Gumtree je jednou z 30 najlepších webových stránok v Spojenom kráľovstve, ktorá každý mesiac prijíma milióny jedinečných návštevníkov. Tento únik sa preto mohol dotknúť veľkého počtu inzerentov na stránke.
Monie zistila, že zdroj HTML uniká pre registrovaných inzerentov nasledujúce informácie:
- meno a priezvisko
- Používateľské meno
- dátum registrácie účtu
- Typ účtu
- Emailová adresa
- PSČ alebo súradnice GPS
Dôsledky odhalenia takýchto údajov sú značné, pretože uniknutí používatelia by mohli byť terčom phishingu alebo útokov sociálneho inžinierstva, ktoré využívajú tieto informácie na pokus o získanie citlivejších informácií.
Stránka má tiež API, ktoré používa výhradne aplikácia Gumtree na iOS. Bohužiaľ, jeden z koncových bodov tohto API bol zraniteľný voči útoku nezabezpečenej priamej referencie objektu (IDOR), čo viedlo k ďalšiemu úniku celých mien a iných informácií o účte.
Prístup k citlivým údajom v zobrazení HTML
Zdroj: Pen Test Partners
Po zistení tohto problému 11. novembra 2021 Monie nahlásila problém spoločnosti Gumtree, ktorá ho čiastočne vyriešila 16. novembra 2021. Po niekoľkých nasledujúcich príspevkoch od výskumníka platforma vyriešila všetky problémy 6. decembra 2021. .
Preto predajcovia Gumtree zobrazujú svoje PII takmer mesiac, ak nie dlhšie.
Bleeping Computer kontaktoval spoločnosť Gumtree so žiadosťou o vyjadrenie k opatreniam prijatým v súvislosti s incidentom a od hovorcu dostal nasledujúcu odpoveď.
„Používateľ nás upozornil na bezpečnostný problém ovplyvňujúci zdrojový kód našej webovej stránky v novembri 2021. Problém bol vyriešený do niekoľkých hodín od nahlásenia. Po zistení vyššie uvedeného sme boli následne upozornení na problém s naším rozhraním API pre zariadenia so systémom iOS, ktorý bol tiež opravený.
V reakcii na tieto problémy sme incident nahlásili úradu Information Commissioner's Office (ICO) a načrtli naše kroky, ktoré sme už podnikli a plánujeme monitorovať tento problém. Tie zahŕňali opravu slabých miest, aktualizáciu bezpečnostných správ našej stránky a zmiernenie budúcich problémov.'
Našich používateľov sme neinformovali a sme presvedčení, že naša odpoveď na nahlásené problémy bola včasná, vhodná a primeraná. Proaktívne sme komunikovali s regulátorom, keď vyšli najavo tieto problémy a keď sme prijímali nápravné opatrenia. V prípade potreby prijmeme ďalšie potrebné opatrenia.“
Aj keď výskumník mohol byť jediný, kto objavil túto základnú chybu straty údajov, odporúčame používateľom Gumtree, aby zostali ostražití a zaobchádzali so všetkými prichádzajúcimi komunikáciami opatrne.
Co si myslis?
