Jeden z badaczy bezpieczeństwa znalazł nietypowy sposób na atakowanie firm – jako punkt wejścia przyjął obsługę regulacji GDPR, w Polsce znanej jako tzw. RODO. Trzeba przyznać, że jest to wyjątkowo pomysłowe podejście i jak widać – skuteczne.

Jak to działa

Znane w Polsce rozwiązanie prawne tzw. RODO (Rozporządzenie o Ochronie Danych Osobowych) jest następstwem unijnej regulacji o analogicznej nazwie – GDPR (General Data Protection Regulation). Jednym z aspektów tych regulacji jest fakt, iż:

  • Jeżeli organizacja przechowuje czyjeś dane osobowe, to musi tą osobę o tym poinformować
  • Osoba, której dane są przetwarzane, musi mieć możliwość zażądania, w dowolnym momencie, m.in.:
    • Usunięcia tych danych
    • Modyfikacji tych danych

Oczywiście, to też jest uregulowane prawnie – operacje z dwóch ostatnich podpunktów mogą być zrealizowane przez procedurę Data Subject Access Request (DSAR). Jest to oficjalna procedura wynikająca z regulacji unijnych.

Co poszło nie tak?

Z powodu że wiele firm obsługuje setki tysięcy klientów, formularze DSAR zostały również zautomatyzowane. Ale ponieważ niewiele osób w ogóle wie, że tego typu procedura jest sformalizowana i gdzie jej szukać… nie była ona (jeszcze) dostatecznie dobrze przetestowana.

Istotą automatyzacji był fakt, że zgłoszenia procesowane były w sposób półautomatyczny i często bez odpowiedniej walidacji. I tak, znaleziono następujące błędy bezpieczeństwa:

  • Brak weryfikacji, czy osoba wysyłająca formularz jest tą za którą się podaje – możliwość modyfikacji danych innej osoby poprzez kradzież tożsamości
  • SSTI (Server-Side Template Injection)
  • Wstrzyknięcie kodu HTML powodujące wyciek tokenów potwierdzających tożsamość użytkownika, czyli kolejna możliwość kradzieży tożsamości
  • Problemy z weryfikacją nadawcy e-mail tzw. spoofing nadawcy, modyfikacja pola „odpowiedz do” – automatyczny proces nie radził sobie z nimi co prowadziło do kolejnych problemów bezpieczeństwa

Szczegóły techniczne

Pełna prezentacja w języku angielskim autorstwa badacza aktywnego na Twitterze jako Hx01 dostępna jest tutaj.

0 CommentsZamknij komentarze

Skomentuj