Ο βρετανικός ιστότοπος αγγελιών Gumtree υπέστη διαρροή δεδομένων αφού ένας ερευνητής ασφαλείας αποκάλυψε ότι μπορούσε να έχει πρόσβαση σε ευαίσθητα προσωπικά αναγνωρίσιμα δεδομένα διαφημιζόμενων απλά πατώντας το F12 στο πληκτρολόγιο.
Δείτε επίσης: Χάκερ χρησιμοποιούν το Slack API για να κλέψουν “airline data”
Όταν πατάτε το πλήκτρο F12 σε έναν web browser, η εφαρμογή θα ανοίξει την κονσόλα developer tools, η οποία σας επιτρέπει να προβάλλετε τον πηγαίο κώδικα ενός ιστότοπου, να παρακολουθείτε αιτήματα δικτύου και να προβάλλετε μηνύματα σφάλματος που παράγονται από τον ιστότοπο.
Θεωρείται πρωταρχικό μέτρο ασφαλείας να μην είναι δημόσια ορατά ευαίσθητα δεδομένα όταν χρησιμοποιείτε έναν ιστότοπο, ακόμη και αν βλέπετε τον πηγαίο κώδικα του.
Ωστόσο, ο ερευνητής ασφαλείας του Pen Test Partners, Alan Monie, ανακάλυψε ότι μπορούσε να δει τα PII των πωλητών απλά βλέποντας τον πηγαίο κώδικα HTML της διαφήμισης που εμφανίζεται στον ιστότοπο του Gumtree.
Δείτε επίσης: Χάκερ κλέβουν credentials Microsoft Exchange χρησιμοποιώντας IIS module
Το Gumtree είναι ένας από τους 30 κορυφαίους ιστότοπους στο Ηνωμένο Βασίλειο, και δέχεται πολλά εκατομμύρια μοναδικούς επισκέπτες κάθε μήνα. Ως εκ τούτου, αυτή η διαρροή μπορεί να έχει επηρεάσει μεγάλο αριθμό διαφημιζόμενων στον ιστότοπο.
Ο Monie διαπίστωσε ότι η πηγή HTML διέρρεε τις ακόλουθες πληροφορίες για εγγεγραμμένους διαφημιστές:
- πλήρες όνομα
- όνομα χρήστη
- ημερομηνία εγγραφής λογαριασμού
- τύπος λογαριασμού
- διεύθυνση ηλεκτρονικού ταχυδρομείου
- ταχυδρομικός κώδικας ή συντεταγμένες GPS
Οι συνέπειες της έκθεσης τέτοιων δεδομένων είναι σημαντικές, καθώς οι χρήστες των οποίων οι πληροφορίες διέρρευσαν θα μπορούσαν να στοχοποιηθούν από επιθέσεις phishing ή social engineering που χρησιμοποιούν αυτές τις πληροφορίες για να προσπαθήσουν να συλλέξουν πιο ευαίσθητες πληροφορίες.
Ο ιστότοπος διαθέτει και ένα API που χρησιμοποιείται αποκλειστικά από την εφαρμογή Gumtree στο iOS. Δυστυχώς, ένα από τα endpoints αυτού του API ήταν ευάλωτο σε επίθεση IDOR, με αποτέλεσμα άλλη μια διαρροή ονομάτων και άλλων πληροφοριών λογαριασμού.
Όταν εντόπισε αυτό το πρόβλημα στις 11 Νοεμβρίου 2021, ο Monie ενημέρωσε την εταιρεία Gumtree για το πρόβλημα, που διόρθωσε εν μέρει το πρόβλημα στις 16 Νοεμβρίου 2021. Μετά από πολλαπλά επόμενα μηνύματα από τον ερευνητή, η πλατφόρμα αντιμετώπισε όλα τα προβλήματα στις 06 Δεκεμβρίου 2021.
Ως εκ τούτου, τα PII των sellers στο Gumtree ήταν εκτεθειμένα για σχεδόν ένα μήνα, αν όχι περισσότερο.
Δείτε επίσης: Χάκερ μολύνουν τυχαία WordPress plugins για να κλέψουν πιστωτικές κάρτες
Παρόλο που είναι πιθανό ο ερευνητής να ήταν το μόνο άτομο που ανακάλυψε αυτό το στοιχειώδες ελάττωμα διαρροής δεδομένων, θα συνιστούσαμε στους χρήστες του Gumtree να παραμείνουν σε επαγρύπνηση και να αντιμετωπίζουν όλες τις εισερχόμενες επικοινωνίες με προσοχή.
Πηγή πληροφοριών: bleepingcomputer.com
