Klantgegevens online wapenwinkel eenvoudig te achterhalen via IDOR-lek

Klantgegevens online wapenwinkel eenvoudig te achterhalen via IDOR-lek

Gegevens van klanten van een online wapenwinkel waren eenvoudig door middel van een IDOR-kwetsbaarheid te achterhalen. Nadat onderzoekers van securitybedrijf Rapid7 het probleem openbaar maakten werd de kwetsbaarheid door Primary Arms verholpen. Primary Arms is een Amerikaans bedrijf dat wapens aan zowel particulieren als overheden levert.

Gegevens van klanten waren door een IDOR-kwetsbaarheid eenvoudig voor andere klanten in te zien. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

In het geval van Primary Arms hoefde een ingelogde klant alleen de acht cijfers van een bestelling te wijzigen om andere bestellingen te zien. Vervolgens waren naam, adresgegevens, telefoonnummer, trackinginformatie, betaalmethode en aangekochte wapens en munitie zichtbaar, alsmede de laatste vier cijfers van het gebruikte creditcardnummer.

Volgens de onderzoekers zouden alle bestellingen met een eenvoudig script in een paar minuten zijn te verzamelen. Het waarschuwen van Primary Arms bleek een lastig proces, waarbij zelfs een aangetekende brief werd gebruikt. Gisteren besloten de onderzoekers hun bevindingen openbaar te maken, waarna de wapenleverancier het probleem verhielp.

Bron: https://www.security.nl/posting/763518/Klantgegevens+online+wapenwinkel+eenvoudig+te+achterhalen+via+IDOR-lek?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.