Сайт объявлений Gumtree слил личную информацию через клавишу F12

1
Как исправить ошибку DistributedCOM 10016 в Windows 10

Британский сайт объявлений Gumtree.com потерпел утечку данных после того, как исследователь безопасности обнаружил, что он может получить доступ к конфиденциальным личным данным рекламодателей, просто нажав F12 на клавиатуре.

При нажатии клавиши F12 в веб-браузере приложение откроет консоль инструментов разработчика, которая позволяет просматривать исходный код веб-сайта, отслеживать сетевые запросы и просматривать сообщения об ошибках, создаваемые веб-сайтом.

Считается основной мерой безопасности сделать конфиденциальные данные недоступными для публичного просмотра при использовании веб-сайта, даже если вы просматриваете его исходный код.

Однако исследователь безопасности Pen Test Partners Алан Мони обнаружил, что он может видеть PII продавцов, просто просматривая исходный HTML-код рекламы, показанной на веб-сайте Gumtree.

«Сайт был очень дырявым. Каждое объявление на сайте включало почтовый индекс продавца или координаты GPS — даже если продавец просил скрыть карту его местоположения. Из него произошла утечка адреса электронной почты продавцов, и их полное имя было доступно через простой Уязвимость IDOR », — поясняет   Мони в отчете.

Gumtree — один из 30 лучших веб-сайтов Великобритании, ежемесячно посещающий миллионы уникальных посетителей. Таким образом, эта утечка могла затронуть большое количество рекламодателей на сайте.

Мони обнаружила, что из исходного HTML-кода произошла утечка следующей информации о зарегистрированных рекламодателях:

  • полное имя
  • имя пользователя
  • дата регистрации аккаунта
  • тип аккаунта
  • адрес электронной почты
  • почтовый индекс или координаты GPS

Последствия раскрытия таких данных значительны, поскольку просочившиеся пользователи могут стать целью фишинговых атак или атак социальной инженерии, которые используют эту информацию, чтобы попытаться собрать более конфиденциальную информацию.

На сайте также есть API, используемый исключительно приложением Gumtree для iOS. К сожалению, одна из конечных точек этого API была уязвима для атаки IDOR (небезопасные прямые ссылки на объекты), что привело к еще одной утечке полных имен и другой информации об учетной записи.

Обнаружив эту проблему 11 ноября 2021 года, Мони проинформировала Gumtree о проблеме, которая частично устранила проблему 16 ноября 2021 года. После нескольких последующих сообщений исследователя платформа решила все проблемы 6 декабря 2021 года.

Таким образом, продавцы на Gumtree выставляли свои PII почти на месяц, если не дольше.

Bleeping Computer обратился к Gumtree с просьбой прокомментировать, какие действия были предприняты в отношении инцидента, и мы получили следующий ответ от официального представителя.

«Пользователь сообщил нам о проблеме безопасности, влияющей на исходный код нашего веб-сайта, в ноябре 2021 года. Эта проблема была решена в течение нескольких часов после того, как она была доведена до нашего сведения. Узнав об этом, мы впоследствии были уведомлены о дальнейшей проблеме с нашим API для устройств iOS. Это тоже было решено.

«В ответ на эти проблемы мы сообщили об инциденте в Офис комиссара по информации (ICO), описав наши действия, которые уже были предприняты и запланированы для отслеживания проблемы. Сюда входило устранение уязвимостей, обновление наших сообщений о безопасности на месте и устранение проблем в будущем ».

«Мы не уведомляли наших пользователей и уверены, что наш ответ на обнаруженные проблемы был своевременным, уместным и соразмерным. Мы проактивно общались с регулирующим органом по мере выявления этих проблем и принятия корректирующих мер. Мы предпримем любые соответствующие дальнейшие действия, если это потребуется ».

Несмотря на то, что возможно, что исследователь был единственным человеком, обнаружившим этот элементарный недостаток утечки данных, мы бы посоветовали пользователям Gumtree сохранять бдительность и относиться ко всем входящим сообщениям с осторожностью.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии