Αναλυτές ασφαλείας ανακάλυψαν δύο ευπάθειες ασφαλείας API στο BrickLink, το επίσημο online marketplace μεταχειρισμένων και vintage τούβλων LEGO του Ομίλου LEGO.
Με πάνω από ένα εκατομμύριο μέλη, το BrickLink είναι η πιο εκτεταμένη παγκόσμια κοινότητα των φαν των LEGO.
Δύο ζητήματα ασφάλειας API που ανακάλυψε η Salt Security θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να κάνει take over στους λογαριασμούς των μελών, να αποκτήσει πρόσβαση και να κλέψει προσωπικά αναγνωρίσιμες πληροφορίες (PII) που είναι αποθηκευμένες στην πλατφόρμα ή ακόμη και να αποκτήσει πρόσβαση σε δεδομένα εσωτερικής παραγωγής και να θέσει σε κίνδυνο εσωτερικούς servers.
Τρωτά σημεία API, μια σε βάθος ανάλυση
Κατά τη διάρκεια της εξερεύνησης του ιστότοπου BrickLink, η ομάδα αναλυτών της Salt Security ανακάλυψε πιθανές ευπάθειες που εντοπίστηκαν στα πεδία user input.
Το πρώτο είναι ένα ελάττωμα cross-site scripting (XSS) στο πλαίσιο διαλόγου “Find Username” της ενότητας αναζήτησης κουπονιών, το οποίο θα επέτρεπε σε έναν εισβολέα να εισάγει και να εκτελέσει κώδικα στον υπολογιστή του στόχου χρησιμοποιώντας έναν ειδικά κατασκευασμένο σύνδεσμο.
Εκμεταλλευόμενος το Session ID που αποκαλύπτεται σε μια διαφορετική σελίδα, ένας εισβολέας μπορεί να χρησιμοποιήσει την ευπάθεια XSS για να καταλάβει και να αποκτήσει πρόσβαση στο λογαριασμό του χρήστη.
Η πρόσβαση στον λογαριασμό σημαίνει έκθεση όλων των δεδομένων που είναι αποθηκευμένα στην πλατφόρμα, συμπεριλαμβανομένων των προσωπικών στοιχείων, της διεύθυνσης ηλεκτρονικού ταχυδρομείου, της διεύθυνσης αποστολής, του ιστορικού παραγγελιών, των κουπονιών, των λαμβανόμενων σχολίων, των επιθυμητών αντικειμένων και του ιστορικού μηνυμάτων.
Το δεύτερο bug που ανακαλύφθηκε ήταν στη σελίδα “Upload to Wanted List”, όπου οι χρήστες έχουν τη δυνατότητα να ανεβάσουν λίστες XML με ανταλλακτικά LEGO που ελπίζουν να βρουν και να αγοράσουν.
Εκμεταλλευόμενοι ένα πρόβλημα στο σύστημα endpoint parsing, οι αναλυτές της Salt Security εξαπέλυσαν μια επιτυχημένη επίθεση XML External Entity (XXE) injection και συμπεριέλαβαν μια αναφορά σε μια εξωτερική οντότητα στο αρχείο τους.
Η επίθεση XXE τους επέτρεψε να διαβάζουν αρχεία στον web server και να εκτελούν μια επίθεση request forgery (SSRF) από την πλευρά του server, η οποία θα μπορούσε να οδηγήσει στην εξαγωγή των AWS EC2 tokens για τον server.
Αφού ειδοποιήθηκε από ερευνητές ασφαλείας για τις ευπάθειες που ανακαλύφθηκαν, η LEGO ενήργησε γρήγορα και έλυσε όλα τα προβλήματα άμεσα.
Δείτε επίσης: HTML smuggling τεχνική χρησιμοποιεί αρχεία SVG και διανέμει το QBot
Σε ότι αφορά την εταιρεία LEGO: Συνολικά, το παιχνίδι με Lego είναι υπέροχο τόσο για τα παιδιά όσο και για τους ενήλικες! Όχι μόνο προσφέρει ώρες ψυχαγωγίας, αλλά έχει και πολλά κρυφά οφέλη που βοηθούν στην ανάπτυξη σημαντικών δεξιοτήτων, όπως οι λεπτές κινητικές δεξιότητες, οι ικανότητες επίλυσης προβλημάτων, η δημιουργικότητα, η φαντασία, η υπομονή και η επιμονή – όλα χρήσιμα χαρακτηριστικά, ανεξάρτητα από την πορεία καριέρας που θα επιλέξει κάποιος αργότερα στη ζωή του! Έτσι, αν ψάχνετε για έναν ελκυστικό τρόπο για το παιδί σας (ή τον εαυτό σας!) να διασκεδάσει και ταυτόχρονα να μάθει κάτι καινούργιο, τότε σίγουρα σκεφτείτε να πάρετε ένα σετ LEGO! Δεν θα το μετανιώσετε!
Δείτε επίσης: NoReboot bug: iPhone Backdoor που δεν ανιχνεύεται και θυμίζει Predator
Οι κυβερνοεπιθέσεις γίνονται όλο και πιο διαδεδομένες και ο τομέας του λιανικού εμπορίου αποτελεί ιδιαίτερα ελκυστικό στόχο για τους λόγω της έμφασης που δίνεται στη δημιουργία εσόδων σε αντίθεση με την ενίσχυση της ασφάλειας.
Για να παραμείνετε ασφαλείς κατά τις αγορές σας, είναι απαραίτητο να χρησιμοποιείτε ισχυρά credentials σύνδεσης λογαριασμού και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων, όποτε είναι διαθέσιμος. Επιπλέον, για αυξημένη ασφάλεια κατά την online παραγγελία, προτείνουμε τη χρήση λογαριασμού επισκέπτη ή εικονικής/προσωρινής κάρτας πληρωμής, αν είναι δυνατόν.
Πηγή πληροφοριών: bleepingcomputer.com
