Lorsque la divulgation responsable ne suffit pas
, MoonPIG est une société de cartes de voeux bien connue au Royaume-Uni. Vous pouvez utiliser leurs services pour envoyer des cartes de vœux personnalisées à vos amis et à votre famille. [Paul] a décidé de faire des creuser et de découvrir quelques vulnérabilités de sécurité entre l’application Moonpig Android et leur API.
Tout d’abord, [Paul] remarqua que le système utilisait l’authentification de base. Ce n’est pas idéal, mais la société utilisait au moins un cryptage SSL pour protéger les informations d’identification du client. Après avoir décodé l’en-tête d’authentification, [Paul] remarqua quelque chose d’étrange. Le nom d’utilisateur et le mot de passe envoyé avec chaque demande n’étaient pas ses propres informations d’identification. Son identifiant client était là, mais les pouvoirs effectifs étaient faux.
[Paul] a créé un nouveau compte et a constaté que les informations d’identification étaient les mêmes. En modifiant l’ID client dans la demande HTTP de son deuxième compte, il a été capable de tromper le site Web de cracher toutes les informations d’adresse sauvegardées de son premier compte. Cela signifiait qu’il n’y avait essentiellement aucune authentification du tout. tout utilisateur pourrait imiter un autre utilisateur. L’adresse de tirage des informations peut ne pas ressembler à une grosse affaire, mais [Paul] affirme que chaque demande d’API était comme celle-ci. Cela signifiait que vous pouviez aller aussi loin que de passer des commandes sous d’autres comptes clients sans leur consentement.
[Paul] a utilisé les fichiers d’aide API de Moonpig d’occasion pour localiser des méthodes plus intéressantes. Celui qui lui s’est démarqué était la méthode GetCreditCardDétails. [Paul] a donné un coup de feu, et bien sûr, le système a largué les détails de la carte de crédit, y compris les quatre derniers chiffres de la carte, la date d’expiration et le nom associé à la carte. Cela peut ne pas être des numéros de carte complets, mais cela reste évidemment un très gros problème qui serait corrigé immédiatement … non?
[Paul] a divulgué la vulnérabilité de manière responsable de la LUCOPIG en août 2013. MoonPIG a répondu en disant que le problème était dû au code hérité et il serait résolu rapidement. Un an plus tard, [Paul] a suivi avec Moonpig. On lui a dit qu’il devrait être résolu avant Noël. Le 5 janvier 2015, la vulnérabilité n’était toujours pas résolue. [Paul] a décidé que suffisamment suffisamment, et il pourrait aussi bien publier ses conclusions en ligne pour aider à appuyer sur la question. Cela semble avoir fonctionné. MoonPIG a depuis désactivé son API et a publié une déclaration via Twitter affirmant que “tous les informations de mot de passe et de paiement sont et ont toujours été en sécurité”. C’est génial et tout, mais cela signifierait un peu plus si les mots de passe importaient réellement.