Μια ευπάθεια στον έλεγχο ταυτότητας στο σύστημα παρακολούθησης πακέτων της DPD Group, θα μπορούσε να επιτρέψει πρόσβαση στα προσωπικά δεδομένα των πελατών της.
Δείτε επίσης: Κρίσιμη ευπάθεια σε WordPress plugin επηρεάζει χιλιάδες sites
Η DPD Group είναι μια υπηρεσία παράδοσης δεμάτων με παγκόσμια παρουσία, αποστέλλοντας περίπου δύο δισεκατομμύρια δέματα ετησίως σε όλο τον κόσμο.
Για την παρακολούθηση της κατάστασης και της θέσης του δέματος τους, οι πελάτες αναμένεται να εισάγουν έναν κωδικό δέματος και ταχυδρομικό κώδικα και εάν ταιριάζουν με μια έγκυρη καταχώριση στη βάση δεδομένων, είναι εξουσιοδοτημένοι να δουν τα στοιχεία αποστολής.
Οι ερευνητές στο Pen Test Partners, εξερεύνησαν το σύστημα και διαπίστωσαν ότι μπορούσαν να δοκιμάσουν κωδικούς δεμάτων σε κλήσεις API και να πάρουν πίσω διευθύνσεις OpenStreetMap με τη θέση του παραλήπτη στον χάρτη.
Αν και η κλήση επέστρεψε μόνο ένα στιγμιότυπο οθόνης του χάρτη, είναι αρκετά εύκολο να εξαχθεί ο ταχυδρομικός κώδικας, στις περισσότερες περιπτώσεις χρησιμοποιώντας τα ονόματα των οδών που απεικονίζονται στην εικόνα.
Διατηρώντας έναν έγκυρο κωδικό δέματος και έναν αντίστοιχο ταχυδρομικό κώδικα, ένα μη εξουσιοδοτημένο άτομο θα μπορούσε να έχει πρόσβαση στη σελίδα παρακολούθησης κάποιου άλλου που εμφανίζει πληροφορίες παράδοσης.
Δείτε ακόμα: Ευπάθεια στα Windows επιτρέπει σε οποιονδήποτε να αποκτήσει δικαιώματα διαχειριστή
Με τη χορήγηση του έγκυρου διακριτικού περιόδου λειτουργίας, μπορεί κανείς να δει τα υποκείμενα δεδομένα JSON, συμπεριλαμβανομένου του πλήρους ονόματος, της διεύθυνσης ηλεκτρονικού ταχυδρομείου, του αριθμού κινητού τηλεφώνου και άλλων στοιχείων αυτού του ατόμου.
Το Pen Test Partners ανακάλυψε το πρόβλημα στις 2 Σεπτεμβρίου 2021 και ειδοποίησε αμέσως την DPD. Η εταιρεία αξιολόγησε το ζήτημα για ένα μήνα και τελικά προχώρησε σε μια επιδιόρθωση τον Οκτώβριο του 2021.
Ως εκ τούτου, η ευπάθεια πρόσβασης API παρέμεινε διαθέσιμη για εκμετάλλευση για τουλάχιστον ένα μήνα.
Αν και οι ερευνητές πιθανότατα ήταν οι πρώτοι που το ανακάλυψαν, το σενάριο της «σιωπηλής» μακροχρόνιας κατάχρησης δεν μπορεί να αποκλειστεί.
Ο τρόπος με τον οποίο λειτούργησε αυτή η επίθεση API είναι τυχαίος, καθώς δεν μπορεί κανείς να μαντέψει τους αριθμούς δεμάτων για ορισμένες ταυτότητες, αλλά θα εξακολουθούσε να είναι χρήσιμος στα χέρια των φορέων phishing.
Δείτε επίσης: Microsoft: Μπλόκαρε δισεκατομμύρια brute-force και phishing επιθέσεις το 2021
Γνωρίζοντας τα στοιχεία της κατάστασης αποστολής και τα στοιχεία επικοινωνίας που ταιριάζουν, θέτει το υπόβαθρο για μια επιτυχημένη επίθεση phishing.
Οι πάροχοι υπηρεσιών παράδοσης δεμάτων ήταν ο τύπος εταιρειών που μιμήθηκαν περισσότερο οι εκστρατείες ηλεκτρονικού “ψαρέματος” στα τέλη του 2021, επομένως αυτός είναι ήδη ένας τομέας υψηλής στόχευσης.
