Η Louis Vuitton επιδιόρθωσε μια ευπάθεια που είχε εντοπιστεί στο site της και επέτρεπε σε επιτιθέμενους να πραγματοποιήσουν τις λεγόμενες “email account enumeration attacks” και να πάρουν τον έλεγχo των λογαριασμών αυτών μέσω επαναφοράς κωδικού πρόσβασης.
Η Louis Vuitton είναι ένα από τα πιο δημοφιλή, πολυτελή fashion brands. Είναι γαλλική εταιρεία, που ιδρύθηκε το 1854, έχει πάνω από 121.000 υπαλλήλους και ετήσια έσοδα 15 δισεκατομμυρίων δολαρίων.
Η ευπάθεια εντοπίστηκε στην ενότητα MyLV account του site.
Η δημιουργία ενός MyLV account επιτρέπει σε έναν αγοραστή Louis Vuitton να παρακολουθεί διαδικτυακές παραγγελίες, να έχει πρόσβαση στο ιστορικό αγορών, να λαμβάνει ηλεκτρονικές αποδείξεις, να διαχειρίζεται προσωπικά στοιχεία και να λαμβάνει ανακοινώσεις της εταιρείας.
Ερευνητής ανακάλυψε την ευπάθεια και την ανέφερε στην Louis Vuitton
Ο ερευνητής ασφαλείας Sabri Haddouche ανακάλυψε την ευπάθεια και προσπάθησε να προσεγγίσει τη Louis Vuitton.
Στη συνέχεια, έγραψε στο Twitter, στις 22 Σεπτεμβρίου, για τις ανεπιτυχείς προσπάθειές του να επικοινωνήσει με το κατάλληλο άτομο. Μετά από αυτό, έλαβε μια αόριστη απάντηση από την εταιρεία. Ο Haddouche συνέχισε στο ίδιο νήμα στο Twitter, λέγοντας: “Λοιπόν, είπαν τώρα ότι μετέφεραν την αναφορά στο σχετικό τμήμα, οπότε θα περιμένω άλλη μια εβδομάδα, μέχρι να προσπαθήσω να βρω έναν νέο τρόπο για να επικοινωνήσω μαζί τους. Ίσως, μπορείτε να τους πείτε ότι υπάρχει ένα επείγον ζήτημα ασφαλείας που πρέπει να επιλυθεί“.
Εmail account enumeration
Ο Haddouche έδωσε στο BleepingComputer περισσότερες λεπτομέρειες σχετικά με αυτό το επείγον ζήτημα ασφάλειας.
Ο ερευνητής δήλωσε: “Η ευπάθεια μπορεί να χρησιμοποιηθεί πολύ εύκολα και την βρήκα κατά λάθος όταν έκανα κλικ σε έναν από τους συνδέσμους σε email της Louis Vuitton. Δείτε εδώ πώς λειτουργεί“:
- Μεταβείτε στην ακόλουθη διεύθυνση URL: https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXX.
- Το ID (παράμετρος “A”) μπορεί να τροποποιηθεί.
- Θα εμφανιστεί το email ενός πελάτη. Εάν ο πελάτης δεν έχει λογαριασμό, το site θα σας ζητήσει να ορίσετε έναν κωδικό πρόσβασης και να συνδεθείτε σε αυτόν.
Ο Haddouch έκανε αυτή την παρατήρηση βλέποντας ένα email, που ήταν μια ειδοποίηση σχετικά με μια επισκευή από τη Louis Vuitton. Η ειδοποίηση τον ώθησε να συνδεθεί σε έναν λογαριασμό.
Το κουμπί “Consulter mon compte” (Προβολή του λογαριασμού μου), που υπήρχε στο email, τον οδήγησε στο σύνδεσμο MyLV με το ID του Haddouche.
Ο Haddouche παρατήρησε ότι αντικαθιστώντας τον αριθμό ID του λογαριασμού του στην παράμετρο “A” με έναν διαδοχικό αριθμό, έβλεπε τη διεύθυνση email ενός άλλου χρήστη στο πεδίο email.
Με αυτόν τον τρόπο ένας εισβολέας θα μπορούσε να λάβει τις διευθύνσεις email πολλών μελών της Louis Vuitton χωρίς τη γνώση ή τη συγκατάθεσή τους, αλλάζοντας απλά τον αριθμό ID του λογαριασμού τους στη διεύθυνση URL.
Απόκτηση πρόσβασης στους λογαριασμούς άλλων χρηστών
Η ευπάθεια στο site της Louis Vuitton επιτρέπει, επίσης, σε οποιονδήποτε να αποκτήσει πρόσβαση στους λογαριασμούς άλλων χρηστών.
Σύμφωνα με τον ερευνητή, οι χρήστες (θύματα) μπορεί απλά να είχαν αγοράσει προϊόντα από το site της Louis Vuitton, χρησιμοποιώντας τη διεύθυνση email τους, χωρίς να είχε γίνει εγγραφή για λογαριασμό.
Με βάση τα παραπάνω, ένας επιτιθέμενος θα μπορούσε να βρει τα email αυτά (με την αλλαγή στο ID), και να ορίσει έναν κωδικό πρόσβασης (του το ζητάει το site). Αυτό θα μπορούσε να επιτρέψει στον εισβολέα να δημιουργήσει έναν λογαριασμό (για λογαριασμό του νόμιμου χρήστη) και να ορίσει έναν κωδικό πρόσβασης.
Ωστόσο, όπως είπαμε παραπάνω, ένα MyLV account παρέχει πρόσβαση σε προσωπικά στοιχεία, ηλεκτρονικές παραγγελίες, ιστορικό αγορών πρόσβασης και άλλα ευαίσθητα δεδομένα.
Επομένως, ο επιτιθέμενος αποκτά πρόσβαση σε εμπιστευτικά δεδομένα πελατών.
Η Louis Vuitton διόρθωσε την ευπάθεια και ευχαρίστησε τον ερευνητή
Η Louis Vuitton διόρθωσε την ευπάθεια και ευχαρίστησε τον ερευνητή, μέσω email, για την αναφορά του σφάλματος.
Το email ανέφερε μεταξύ άλλων: “Είμαστε στην ευχάριστη θέση να σας ανακοινώσουμε ότι η αναφερόμενη ευπάθεια έχει διορθωθεί από την αρμόδια υπηρεσία. Σας ευχαριστούμε και πάλι για τα σχόλιά σας σχετικά με αυτό το ζήτημα και για άλλη μια φορά ζητάμε συγγνώμη για την παρανόηση του αρχικού αιτήματος“.
Η Louis Vuitton διαθέτει μια bug bounty σελίδα στο HackerOne, αλλά δεν φαίνεται να χρησιμοποιείται.
Σχετικά με την αναφορά της ευπάθειας, ο ερευνητής είπε στο Bleeping Computer: “Χάσαμε ουσιαστικά 2 εβδομάδες και η ευπάθεια είχε ήδη αποκαλυφθεί στα DM του Twitter και στη συνέχεια σε καθαρό κείμενο σε email, κατά τη διάρκεια αυτής της περιόδου“.
“Κάποιος που μπορεί να είχε πρόσβαση στο mailbox τους, στο Twitter ή στον λογαριασμό μου θα μπορούσε να δει τις λεπτομέρειες της ευπάθειας και να τη χρησιμοποιήσει“, κατέληξε.