Раскрытие подробной информации о клиентах в e-commerce проекте

Срок выполнения: 1 месяц

Заказчик: e-commerce проект.

Запрос: провести внешний анализ защищенности, черный ящик. WEB-приложение с большим API.

Специалисты РАД КОП:

1. В рамках внешнего анализа защищенности сформировали модель нарушителя и сценарии тестирования, включая исследование механизмов оплаты и обнаружили, что страница со статусом платежа и готовности товара отдаётся по числовому идентификатору.
2. Было принято решение поискать IDOR, в итоге гипотеза подтвердилась: перебирая соседние идентификаторы заказа мы смогли получить информацию о сумме покупки и методе оплаты.
3. Далее был найден субдомен, раскрывающий информацию о наличии Телеграм-бота для взаимодействия с проектом. Телеграм-бот был оперативно обнаружен. Установлено, что взаимодействие Телеграм-бота с сайтом происходит посредством Телеграм WebApp, когда веб-приложение открывается прямо в интерфейсе Телеграма через WebView. Оказалось, что запросы идут на тот же самый домен API сервера приложения, но с немного другими конечными точками.
4. Повторив то же самое действие с раскрытием информации о заказах с помощью перебора идентификаторов, мы получили вдобавок к сумме Заказа следующую информацию: банк, через который совершалась оплата и трек-код доставки товара. В трек-коде фигурировали полные ФИО, номер телефона и место жительства клиента сервиса (точный адрес дома), что позволяло получать доступ к персональным данным (не все трек ссылки содержали такую подробную информацию, примерно 10% из тысячи валидных идентификаторов, но в масштабах работы сервиса это уже позволяло сформировать «неплохую базу»).

Результат:

В итоге, несмотря на высокую защищенность внешнего периметра клиента, с использованием сторонних облачных провайдеров и накладных средств защиты, из-за уязвимости в логике работы приложения была обнаружена критическая уязвимость, доступная внешнему нарушителю, и обоснован вектор атаки на клиентов посредством социальной инженерии. Также обозначены правовые последствия, связанные с возможными утечками персональных данных. Получив рекомендации РАД КОП, заказчик оперативно устранил уязвимость, скорректировав логику работы приложения.