Ошибка отслеживания посылок DPD Group могла привести к раскрытию данных клиентов

Women in Games открывают азиатское отделение

Уязвимость вызовов API без аутентификации в системе отслеживания посылок DPD Group могла быть использована для доступа к личным данным клиентов.

DPD Group — это глобальная служба доставки посылок, ежегодно доставляющая около двух миллиардов посылок по всему миру.

Чтобы отслеживать статус и положение своей посылки, клиенты должны ввести код посылки и почтовый индекс, и если они совпадают с действительной записью в базе данных, они имеют право просматривать детали доставки.

Доступ к данным получателя

Исследователи из Pen Test Partners изучили систему и обнаружили, что они могут опробовать коды посылок при вызовах API и получить обратно адреса OpenStreetMap с положением получателя на карте.

Хотя звонок вернул только скриншот карты, в большинстве случаев довольно легко получить почтовый индекс, используя названия улиц, изображенные на картинке.

Имея действительный код посылки и соответствующий почтовый индекс, неавторизованный человек может получить доступ к чужой странице отслеживания, отображающей информацию о доставке.

С предоставленным действительным токеном сеанса можно просмотреть базовые данные JSON, включая полное имя этого человека, адрес электронной почты, номер мобильного телефона и многое другое.

Исправление и воздействие

Партнеры по Pen Test обнаружили проблему 2 сентября 2021 г. и немедленно уведомили DPD. Фирма оценивала проблему в течение месяца и в конце концов выдвинула исправление в октябре 2021 года.

Таким образом, уязвимость доступа к API оставалась доступной для использования в течение как минимум месяца, но окно возможностей, вероятно, было гораздо более широким.

Хотя исследователи, вероятно, первыми обнаружили это, нельзя исключать сценарий «молчаливого» длительного насилия.

Эта атака API работала случайным образом, поскольку невозможно угадать номера посылок для заданных удостоверений, но она все равно была бы полезна в руках мошенников.

Знание сведений о статусе доставки и соответствующих контактных данных создает основу для успешной фишинговой атаки.

Поставщики услуг доставки посылок были наиболее имитируемым типом компаний фишинговых кампаний в конце 2021 года, так что это уже очень целевой сектор.

Мы связались с DPD Group, чтобы запросить дополнительную информацию об уязвимости API и ее потенциальном влиянии на клиентов, но пока не получили ответа от фирмы.

Последнее обновление 08.02.2022