Авто в кредит: Give me your personal data07.08.2014 17:33

imageПриветствую всех! На этот пост меня вдохновил доклад Дейва Кронистера, выступавшего на конференции PHDays в этом году. Его доклад назывался «Give me your data», в котором он рассказал, как без особых навыков и знаний в области ИБ можно получить сегодня в сети множество информации о некоторых их нас.

В этом посте, на примере одной истории о компании по продаже авто в кредит, я расскажу Вам как можно с легкостью получить сведения о человеке.

Однажды, в свободное время в очередной раз бороздя просторы интернета мне попался на глаза ресурс с IP 46.161.1.35.Быстренько натравив на этой IP nmap меня привлек открытый 80 и 443 порт.

image

Постучавшись по адресу, браузер любезно выдал мне две ссылки в виде кракозябл

image

Перейдя по каждой из ссылок, по адресу https://as.fin-ins.com/ и https://ansher.fin-ins.com/, ругаясь на сертификаты от некоего Дмитрия Морозова (хотя у меня почему-то сразу всплыли ассоциации с тем самым Павликом Морозовым), мне открылись две панели авторизации в сервисе под громким названием «Кредитная платформа»

image

На автомате потыкавшись пару раз в форму со стандартными логинами и паролями я решил поковырять директории ресурса. Для этого был запущен dirb

dirb https://as.fin-ins.com/ ~/dict.txt -w Немного пошуршав, краулер выдал мне список найденного, среди которого был путь https://as.fin-ins.com/list.php.Скопировав строку в браузер, меня редиректнуло снова на страницу авторизации. Однако буквально на долю секунды что-то мелькнуло перед глазами перед редиректом, так что мне показалось что просто пора бы уже завязывать с ночными посиделками перед компом. Но для полной уверенности проделав процедуру еще несколько раз я был уверен, что мне не показалось.Тогда я решил выкачать страничку простым wget-омimage

Каким же было мое удивление, открыв скачанную страничку и увидев в разметке следующее:

… Это было явно не похоже на страничу авторизации. Мне отдалась страница, которая отображается авторизованным пользователям. Самым интересным в этом куске разметки были ссылки на другие страницы и  Да, бинго! Система авторизации в «Кредитной платформе» основана на выставлении редиректа на error.php в возвращаемую сервером страницу, если вы не авторизованы. Отличный способ! Тут же был запущен Burp Suite.Запустив локальный прокси-сервер и настроив на него браузер я включил опции Burp-a, вырезающую весь проходящий java-script из страницы (еще этот чудесный сервис дружит только с google-chrome, поэтому пришлось поменять и User-Agent)После этого снова стуканувшись по указанному урлу, я увидел то, что и предполагалось — внутренную страницу сервиса.

Тут же ткнув в кнопку «Новая заявка», я попал на страничку с заполнением некой анкеты, которую судя по всему запоняет менеджер «Кредитной платформы»

Сюда вводятся все данные клиента, ФИО, номера паспорта, водительского удостоверения, места работы, сведения о доходах, о машине, которую желает преобрести в крудит клиент и прочее и прочее.Особенно меня заинтересовал выпадающий список с под названием «Автосалон», в котором обнаружился список обсуживаемых точек.

Найти свой автосалон Авинрос (Варшавка)Авинрос (Южный порт)АВТО ГРУППАВТО-АЛЬЯНСАВТО-РАФАвто-ХомАвто-ЦентрАвтокрокусАвтоЛигаАвтосистемаАгатАЛИСАУТЛЕТБизнесТрейдГала-МедиаГАЛАКТИКАГанешаГАРАНТАВТОГермес-АутоГранд КупеГранд плюсЕвро ТрейдЕВРО-МоторсЕвроКомЕвроМаркетИмпульс ГруппИНВЕСТАВТОИнициативаИнсигнияК.Э. Н.КАР-ЦЕНТРКомандирЪКонцептЛегионЛИДЕРМеджор-МоторсМЕРИДИАНМИРМосква (ВТБ)Москва (Сов.)НЕПТУНОткрытый МирПрестиж-АвтоПРОГРЕССПрогрессЭлитПрофильРА-АВТОРеспект-МРоял ЯрдРоял ЯрдРусКомФинанс (Касаткина)СКАЙСлавянскийСОКОЛСтандарт-ГруппСтимулСТРЕЕТКАРССтройАльянсТакс-ИНТехноГрадТРЭЙДФАКТФИНАНС ТРЕЙД ПЛЮСФораАвтоФорвардФореверФортуна АвтоФоти Дейз КоллекшнХлебникова М.Б. Центр югЦентральныйЩукино-ЭМ ЭЭльрус-авто

Снова заглянув в код разметки страницы, мое внимание привлек кусок

Похоже что все пляшет здесь от параметра statement. Дополнив текущую адресную строку предполагаемым параметром, сервер снова любезно отдал мне страничку, но на этот раз содержащую личные данные клиента.Внимательно рассмотрев полученную станичку и данные на ней, я увидел что на страничке statement1.php все не заканчивается))

1.Анкета2.Документы заявителя3.Банки4.Сведения о ТС5.Документы для сделки6.Подписанные документы7.Закрытие заявки

Впринципе, по названию ссылок примерно понятно, какие сведения о клиенте там можно найти. Например можно найти скан-копии паспортов, водительских удостоверений, банковских реквизитов клиента, и даже фотку из салона, где клиент улыбается и ждет, что ему таки дадут кредит на автомобиль.Поизучав чудо-сервис если немного оказалось что все файлы лежат на сервере по адресу вида as.fin-ins.com/upload/files/$i, где i — идентификатор клиента в «Кредитной платформе». За пару минут стало понятно, что уникальных персональных данных в этой системе с 2013 года примерно 22 000 +. И каждый день это число пусть незначительно, но растет.Таким образом с легкостью можно узнать все актулальные персональные данные гражданина, сканы его документов, договоров, если была совершена сделка, размер зарплаты и иногда банковские данные и многое другое.Вместо заключения Сейчас вокруг нас множество различных сервисов на любой вкус и цвет, однако безопасность многих из них заставляет желать лучшего. К огромному сожалению даже сейчас, когда из каждого утюга мы слышим про защиту персональных данных, как их надо хранить, как передвать и прочее, некоторые компании относятся к вопросам ИБ с особой халатностью и принебрежением к своему клиенту. Раз компания не может и не хочет обеспечить безопасность Ваших данных, лишний раз сами попробуйте проверить их безопасность, хотя бы приобретая автомобиль в кредит =)P.S. На втором урле аналогичная проблема безопасности с отдельной базой клиентов, правда гораздо меньшая по размеру. Кстати говоря, сервер на сегодняшний день уязвим к CVE-2014–0160, так что желающие могут попробовать угнать пароли пользователей системы, да и других векторов для получения профита там хватает.

© Habrahabr.ru