Os clientes da Southern Water podem visualizar os dados pessoais de outras pessoas ajustando os parâmetros de URL
Uma lição rápida sobre como não implantar o Sharepoint como um sistema de recuperação de arquivos ‘minha conta’
A Southern Water – fornecedora britânica do líquido da vida – estragou tanto a implementação do Sharepoint interno que um cliente foi capaz de ver os detalhes da conta de outras pessoas.
O leitor de registro, Chris H, descobriu que a maneira como a Southern Water configurou o Sharepoint para hospedar informações do cliente como uma seção no estilo “sua conta” de seu site expôs URLs que poderiam ser ajustados para visualizar as informações de contas de outras pessoas.
“Infelizmente, uma vulnerabilidade nesta área de gerenciamento permitia que qualquer cliente conectado visse contas e documentos de outros clientes, bem como recuperasse tokens de autenticação que permitiam acesso direto à API para seu site de faturamento interno do SharePoint”, escreveu Chris em uma postagem de blog do Medium sobre o problema.
Os PDFs carregados por meio do portal do cliente incluíam uma sequência de URL como:
-> https://youraccount.southernwater.co.uk/eservices/getpdfcorrespondence?correspondenceUrl=https://[redacted].sharepoint.com/sites/[redacted]/12/09_12_0_s1/[redacted].pdf
Alguns ajustes no curl e nos esquemas de URL padrão do Sharepoint retornaram “alguns links para a correspondência de outros clientes”, como disse Chris.
“Você nunca deve permitir que os usuários façam chamadas autenticadas desconhecidas em sistemas internos”, escreveu ele. Nenhuma autenticação foi aplicada a esses URLs do Sharepoint, o que significa que Chris foi capaz de visualizar o “nome completo, endereço, número da conta do cliente, número de referência do pagamento, datas de faturamento e pagamento, saldo da conta, valor do pagamento, valor da conta, detalhes do medidor e leituras do medidor de outro cliente . ”
Como Chris apontou, ajustar URLs públicos para visualizar outras informações em um servidor público vem com o título geral de segurança de TI de “falsificações de solicitação do lado do servidor”, mais detalhes dos quais são explicados pelo Open Web Application Security Project aqui . Embora a palavra “falsificação” faça com que a solicitação de um recurso hospedado em um servidor público pareça invadir o Fort Knox, fazer isso não é ilegal no Reino Unido ou na maioria das outras democracias ocidentais.
O problema já foi corrigido, com a Southern Water dizendo ao The Register : “Levamos a proteção dos dados do cliente muito a sério, testamos rigorosamente nossos sistemas e adotamos medidas fortes para proteger as informações do cliente”.
Chris também nos mostrou e-mails da Southern Water nos quais a empresa agradecia por alertá-los sobre o erro crasso – e garantiu a ele que não estava “atualmente” procurando entrar com uma ação legal contra ele, algo que um representante de relações públicas da empresa mencionou em uma conversa por telefone com The Register .
A prática de ameaçar as pessoas que fazem divulgações responsáveis de enganos de segurança há muito desapareceu da indústria de TI em favor de esquemas de recompensa de bugs e pentesting adequado; talvez outras indústrias ainda estejam tentando se recuperar.
Fonte: https://www.theregister.com/2020/08/28/southern_water_sharepoint_shenanigans/