Moonpig είναι μια γνωστή εταιρεία ευχετήριων καρτών στο Ηνωμένο Βασίλειο. Μπορείτε να χρησιμοποιήσετε τις υπηρεσίες τους για να στείλετε εξατομικευμένες ευχετήριες κάρτες στους φίλους και την οικογένειά σας. [Paul] αποφάσισε να κάνει κάποια σκάψιμο και ανακάλυψε μερικές ευπάθειες ασφάλειας μεταξύ της εφαρμογής του Moonpig Android και το API τους.
Πρώτα απ ‘όλα, ο [Paul] παρατήρησε ότι το σύστημα χρησιμοποιεί βασικό έλεγχο ταυτότητας. Αυτό δεν είναι ιδανικό, αλλά η εταιρεία χρησιμοποιούσε τουλάχιστον την κρυπτογράφηση SSL για την προστασία των διαπιστευτηρίων του πελάτη. Μετά την αποκωδικοποίηση της κεφαλίδας ελέγχου ταυτότητας, [Paul] παρατήρησε κάτι περίεργο. Το όνομα χρήστη και ο κωδικός πρόσβασης που αποστέλλονται με κάθε αίτημα δεν ήταν τα δικά του διαπιστευτήρια. Το αναγνωριστικό πελάτη του ήταν εκεί, αλλά τα πραγματικά διαπιστευτήρια ήταν λάθος.
[Paul] Δημιούργησε ένα νέο λογαριασμό και διαπίστωσε ότι τα διαπιστευτήρια ήταν τα ίδια. Με την τροποποίηση του αναγνωριστικού πελάτη στο αίτημα HTTP του δεύτερου λογαριασμού του, ήταν σε θέση να εξαφανίσει τον ιστότοπο να φτύσει όλες τις αποθηκευμένες πληροφορίες διεύθυνσης του πρώτου λογαριασμού του. Αυτό σήμαινε ότι δεν υπήρχε ουσιαστικά κανένα έλεγχο ταυτότητας. Οποιοσδήποτε χρήστης θα μπορούσε να εμποδίσει έναν άλλο χρήστη. Η τάνυση των πληροφοριών διεύθυνσης μπορεί να μην ακούγεται σαν μια μεγάλη υπόθεση, αλλά [ο Paul] ισχυρίζεται ότι κάθε αίτημα API ήταν έτσι. Αυτό σήμαινε ότι θα μπορούσατε να πάτε όσον αφορά την τοποθέτηση εντολών κάτω από άλλους λογαριασμούς πελατών χωρίς τη συγκατάθεσή τους.
[Paul] χρησιμοποίησε τα αρχεία βοήθειας του Moonpig για να εντοπίσει πιο ενδιαφέρουσες μεθόδους. Το ένα που του ξεχώρισε ήταν η μέθοδος GetCreditCardDetails. [Paul] έδωσε μια βολή και σίγουρα το σύστημα πέταξε λεπτομέρειες πιστωτικών καρτών, συμπεριλαμβανομένων των τελευταίων τεσσάρων ψηφίων της κάρτας, την ημερομηνία λήξης και το όνομα που σχετίζεται με την κάρτα. Μπορεί να μην είναι πλήρεις αριθμοί καρτών, αλλά αυτό είναι ακόμα προφανώς ένα αρκετά μεγάλο πρόβλημα που θα καθοριστεί αμέσως … σωστά;
[Paul] Αποκάλυψε την ευπάθεια υπεύθυνα στο Moonpig τον Αύγουστο του 2013. Η Moonpig απάντησε λέγοντας ότι το πρόβλημα οφείλεται σε κωδικό παλαιού τύπου και θα καθοριστεί αμέσως. Ένα χρόνο αργότερα, ο [Paul] ακολούθησε με Moonpig. Του είπαν ότι πρέπει να επιλυθεί πριν από τα Χριστούγεννα. Στις 5 Ιανουαρίου 2015, η ευπάθεια δεν είχε ακόμη επιλυθεί. [Paul] αποφάσισε ότι ήταν αρκετό αρκετό και ίσως απλώς να δημοσιεύσει τα ευρήματά του σε απευθείας σύνδεση για να βοηθήσει να πατήσω το ζήτημα. Φαίνεται να έχει εργαστεί. Η Moonpig έχει απενεργοποιήσει το API της και κυκλοφόρησε μια δήλωση μέσω του Twitter που διεκδικεί ότι “όλοι οι πληροφορίες κωδικού πρόσβασης και πληρωμής είναι πάντα ασφαλείς”. Αυτό είναι υπέροχο και όλα, αλλά θα σήμαινε λίγο περισσότερο εάν οι κωδικοί πρόσβασης πραγματικά έχουν σημασία.