Глава финансовой практики DataArt UK обнаружил брешь в безопасности визовой системы

20 липня 2015
DataArt

Алексей Уткин: «История простая. Мне надо было подать документы на визы в Италию для семьи через VFS Global — систему, которая обслуживает очень много консульств по всему миру. В Англии, например, они делают визы для половины стран Евросоюза. Заполнил анкеты на всех неделю назад, за день до подачи решил их распечатать. Для начала выяснилось, что онлайн-система визовых приложений за это время обновилась, и заполненные анкеты, которые еще «в процессе», при этом не мигрировали. Т. ч мне представилась волшебная возможность заполнить анкеты заново.

Борясь с глюками, заполняю анкету жены, генерируется косой-кривой PDF, на почту приходит номер ее анкеты для возможности дальнейшего доступа. Заполняю анкету сына — в конце процесса генерация его PDF валится, и письмо с номером анкеты не приходит.

При этом на сайте есть кнопка “retrieve unsubmitted visa application”, и туда надо просто ввести ID-номер (тот самый, который приходит на почту, вида SCHEIT1000001). Номера все последовательные. Я решил, что вечер, пользователей немного — буду прибавлять к ID-номеру анкеты жены единицу и найду анкету сына. Но внезапно… начал видеть чужие анкеты! И не только неотправленные, но вообще все — с начала системы. Со всеми личными данными. 

Разумеется, написал им гневное письмо с предложением выпить йаду, всех уволить и посадить, нанять нормального подрядчика типа DataArt. Теперь, чтобы получить доступ к анкете, надо ввести свой адрес электронной почты. Но главная проблема, что я всё сломал, совершенно не пытаясь ничего сломать: ребята  просто зарелизили систему без какой-либо проверки безопасности. Хотя кто-кто, а уж они-то должны печься о безопасности данных больше всего, на всех уровнях — от проектирования и тестирования до независимого секьюрити и аудита защиты данных!»

История заинтересовала крупные британские издания: интервью у коллег взяли The Guardian, The Times, The Sunday Times, The Independent, Daily Mail, Mail on Sunday, Financial Times.

Роман Денисенко, Security Specialist DataArt: «Налицо — классическая ситуация горизонтальной эскалации привилегий, когда данные одного пользователя становятся видны другому посредством манипуляций входными параметрами. Обычно на сервере проходит авторизация пользователя на доступ только к его информации, чтобы он, не дай бог, не получил что-то не свое. В визовой системе, видимо, решили, что пользователи не настолько продвинуты и проверку не реализовали вовсе, считая, что пользователь не будет вмешиваться в поведение клиентской части программы (ручками менять айдишник документа).

При тестировании я бы первым делом попытался получить чужую информацию, последовательно меняя айдишник документа. Если бы ID были рандомные, зарегистрировал бы двух пользователей, получил для них ID, а потом пытался бы сделать так, чтобы они получили данные друг друга — опять же, меняя айдишник вручную.

Для любых проектов жизненно важно реализовать авторизацию на получение любой значимой информации, чтобы исключить ситуацию, когда пользователь получает доступ к тому, на что у него нет прав».

  • Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    7 жовтня
  • Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    29 вересня
  • Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    28 вересня
  • Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    Сьогодні