web analytics

Data Breach TBI Bank, ColetX.ro si Curier-Online.ro – CVD

Spuneam în articolul trecut că România este supra-estimată atunci când vine vorba de competențele oamenilor din IT și m-am exprimat mult prea elegant pentru ce urmează.

TBI Bank pune la dispoziția clienților săi un portal web prin intermediul căruia pot fi achitate ratele diverselor împrumuturi făcute în rețeaua TBI (Bank, Money etc), la adresa https://tbibank.ro/plateste-rata . O data autentificat în acest portal am acces la numărul de contract în relația cu TBI, data scadentă a ratei actuale, suma de plata, soldul la data ultimului cron care a trecut peste contul meu si bineînțeles, pot plăti cu cardul ratele.

Din octombrie anul trecut tot strig că este solicitat numai CNP-ul clientului TBI, desi in formularul de autentificare pare a fie solicitată și adresa email. Inițial m-am gândit ca ar fi vorba de adresa email declarată în procesul de contractare dar aparent acel câmp de email este folosit strict pentru a trimite dovada plății dupa ce a fost efectuată plata ratei.

În practică, cu ajutorul unor instrumente ușor de folosit precum Intruder-ul de la Burp Suite, as putea folosi liste de CNP-uri pentru a identifica cine este client TBI, ce număr de dosar are, care este valoarea lunară a ratelor, și multe altele, în scopuri malițioase ce mă pot ajuta în crearea unui profil cât mai amplu asupra victimei.

Aparent Head of IT Security de la TBI Bank (Dobrin Dobrev) consideră după lungi discuții că este în regulă ca singura dată de autentificare în relația cu instituția să fie codul numeric personal. În martie 2021 au avut loc discuțiile cu TBI Bank, în octombrie 2021 a intrat pe fir si DNSC (fostul CERT-RO), instituție mai neputincioasă decât un dacă aș fi vorbit cu un preșcolar.  La asta adăugăm benzină pe foc și cu faptul că paginile de confirmare a plății au PII în text clar (tbibank.ro/?plateste-rata?suma={suma}&cnp={cnp}&contract={numar_contract}&p… ) și mulți alți parametri care e mai bine să nu fie publicați aici pentru că nu știu ce idei dau oamenilor cu prea multi timp liber mai ales că sunt indexate cu succes de către SimilarWeb.

Un an și ceva mai târziu ambele vulnerabilități sunt încă prezente și oamenii ăștia dorm noaptea confortabil. Pe mine mă ajută să țin lucrurile astea notate pe blog ca să pot să țin minte de la ce companii să nu chem niciodată oameni la interviu.

Later edit: o idee care cred ca merită spusă este că TBI Bank are program de bug bounty (https://tbibank.ro/en/about-tbi-group/Bug-Bounty-Program) ! Teoretic își asuma 120 de zile pentru remediere dar numai pentru ceea ce consideră ca fiind vulnerabilitate iar în lipsa unui feedback concret deduc doar că vulnerabilitățile de mai sus intră ca Out of Scope în sfera “General best practice concerns” sau “Disclosure of information that does not present a significant risk“. Atât s-a putut. Faptul că CNP-urile sunt indexate sau că te poți autentifica fără nicio măsură de protecție (nu mai spun de parolă sau multi factor authenticator) sunt considerate ca fiind simple îngrijorări de best practice sau nu reprezintă pentru TBI si clienții săi un risc important în confidentialitatea, integritatea si disponibilitatea informatiei …

ColetX.ro (Diana Adela Talpoș – da, acea familie Talpoș renumită pentru nenumăratele dosare) și Curier-Online.ro (Claudiu Balint) sunt doar două dintre site-urile din rețeaua BizMag.

ColetX.ro și Curier-Online.ro sunt două platforme ce permit clienților să expedieze colete prin servicii de curierat rapid din România la nivel național precum Cargus, DPD, NemoExpress, SameDay și XD Courier. Chiar dacă din punct de vedere grafic par a fi un stagiu mult mai avansat decât celelalte site-uri din rețeaua BizMag, folosesc aceeași soluție software ca toate celelalte alte site-uri din rețeaua BizMag.

Nu are rost să intru foarte mult în detalii, ideea de bază fiind că un băiat deștept a făcut rapid pe genunchi un site pe WordPress, a făcut cu plugin mai găurit decât era șvaițerul din Tom & Jerry și apoi a marketat produsul ca fiind o afacere la cheie. Ideea e super bună, oamenii sunt cu nevoi speciale. E ceva în Oradea și Cluj peste care trec foarte greu. În general oamenii din IT din regiunile astea două se comportă de parcă au inventat internetul și oricât te chinui să le explici că sunt proști făcuți grămadă, o țin pe a lor. Rareori mi-a fost dat să văd în schimb ceva mai prost configurat, instabil și lăsat intenționat așa.

  • Vulnerabilitate de tip IDOR la nivelul serviciului de print AWB și la nivelul serviciului de facturare unde nu sunt luate măsuri de securitate adecvate în vederea stopării accesului neautorizat al altor clienți coletx.ro spre a vizualiza datele cu caracter personal din facturile și AWB-urile înregistrate de către ceilalți.

Exemplu factura (cu redirect in Oblio):
https://coletx.ro/wp-admin/admin-ajax.php?action=bm_print&type=invoice&order_id=112202
https://coletx.ro/wp-admin/admin-ajax.php?action=bm_print&type=invoice&order_id=112000
https://curier-online.ro/wp-admin/admin-ajax.php?action=bm_print&type=invoice&order_id=302
https://curier-online.ro/wp-admin/admin-ajax.php?action=bm_print&type=invoice&order_id=201

Exemplu AWB:
https://coletx.ro/wp-admin/admin-ajax.php?action=bm_print&type=awb&format=A4&order_id=98495
https://coletx.ro/wp-admin/admin-ajax.php?action=bm_print&type=awb&format=A4&order_id=98498
https://curier-online.ro/wp-admin/admin-ajax.php?action=bm_print&type=awb&format=A4&order_id=4202
https://curier-online.ro/wp-admin/admin-ajax.php?action=bm_print&type=awb&format=A4&order_id=4602

  • Directory listing activ prin intermediul căruia pot fi accesate folderele disponibile sub directorul wp-content inclusiv un folder numit BIZMAG (capturi atașate) în care regăsim câteva sute de facturi în format PDF conținând date cu caracter personal ale clienților coletx.ro

Link folder facturi: https://coletx.ro/wp-content/uploads/bizmag/facturi

Exemple de facturi:
https://coletx.ro/wp-content/uploads/bizmag/facturi/31-05-2021/factura-103394-BMC-25xx.pdf – am anonimizat ID-ul pentru că oamenii au considerat că nu este nicio problemă dacă sunt usor de extras facturile tuturor clienților. Exact ce spuneam mai sus și anume aerul acela de superioritate care apare când îi spui că nu e legal să pui pe internet toată baza de clienți și datele lor personale
https://coletx.ro/wp-content/uploads/bizmag/facturi/04-05-2021/factura-100948-BMC-19xx.pdf

  • În plus este disponibil spre accesare fără nici un fel de protecție sau autorizare un fișier de log a unui debuger prin intermediul căruia pot fi identificate path-uri, query-uri și date cu caracter personal la adresa https://coletx.ro/wp-content/debug.log si https://curier-online.ro/wp-content/debug.log.

Important de precizat este faptul ca în acest fișier se regăsesc inclusiv nume de utilizator și parole în text clar deoarece în acest fișier au fost scrise inclusiv erorile de trimitere a emailului la crearea unui cont, adaugand conținutul emailului în fișierul menționat anterior.

Impactul proiectării platformei fără a îndepli condiții minime de protecție a datelor cu caracter personal sau de igienă în domeniul securității informației cum îmi place să spun, este că fiind folosită aceeași soluție software precum toate celelalte site-uri din rețeaua BizMag, un potențial atacator sau o persoană cu intenție răuvoitoare ar putea să extragă datele cu caracter personal de pe toate site-urile din rețeaua BizMag pe baza similitudinii de componente împărtășite în această rețea și a tuturor vulnerabilităților descrise mai sus, chiar dacă coletx.ro sau curier-online operează sub alte entități juridice.

Un an mai târziu, DNSC (fostul CERT-RO) nu are cadrul legal să poată face prea multe lucruri iar DataProtection este poate cea mai slab pregătită Autoritate din România. Au trecut 3 ani de când Meridian Taxi publica toate convorbirile telefonice pe siteul lor, Telekom indexa în Google cu adresele clienților și multe alte rapoarte deja înregistrate, dar Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este ocupată să dea amenzi de 100 € ca polițiștii locali când amendează bătrânii care vând pătrunjel în piață fără autorizație.

      Cristian Iosub