0
0
A Louis Vuitton corrigiu silenciosamente uma vulnerabilidade de segurança em seu site que permitia a enumeração da conta de usuário e até permitia a aquisição de contas através de redefinições de senha.
Fundada em 1854, a Louis Vuitton é uma proeminente empresa francesa de moda e mercadorias, com mais de 121.000 funcionários e uma receita anual de US$ 15 bilhões.
A falha facilmente explorável residia na seção de conta MyLV do site.
A criação de uma conta MyLV permite que um comprador da Louis Vuitton rastreie pedidos on-line, acesse o histórico de compras, obtenha recibos eletrônicos, gerencie informações pessoais e receba anúncios da empresa.
Pesquisador relata vulnerabilidade, obtém uma resposta vaga
Tendo descoberto a vulnerabilidade, o pesquisador de segurança Sabri Haddouche procurou a Louis Vuitton como parte do processo de divulgação responsável.
Ele então tuitou em 22 de setembro sobre suas tentativas mal sucedidas de chegar até a pessoa correta quando recebeu uma resposta vaga da empresa.
Haddouche continuou no mesmo tópico: “Bem, eles disseram agora que eles encaminharam o relatório para o departamento relacionado, então eu vou esperar por mais uma semana até que eu tente encontrar uma nova maneira de contatá-los, talvez você possa dizer a eles que há uma questão urgente de segurança que precisa ser corrigida e o apoio tem o relatório.”
Enumeração da conta de e-mail
Haddouche compartilhou agora com o BleepingComputer mais detalhes sobre esta questão urgente de segurança que precisava ser corrigida.
O pesquisador afirmou: “A vulnerabilidade é surpreendentemente fácil de explorar e eu a encontrei por acidente ao clicar em um dos links no e-mail da Louis Vuitton. É assim que funciona:”
- Navegue até a seguinte URL: https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXX.
- O ID (parâmetro “A”) pode ser alterado para qualquer coisa, uma vez que os dígitos são incrementais é fácil descobrir praticamente qualquer um.
- O e-mail de um cliente será exibido. Além disso, se ele não tiver uma conta, ele pedirá para definir uma senha também e entrará nela.
O e-mail a que Haddouche se refere foi uma notificação por e-mail sobre seu reparo na Louis Vuitton, o que o levou a fazer login em uma conta.
O botão “Consulter mon compte” (Exibir minha conta) leva ao link MyLV com o ID da conta de Haddouche, como mostrado nas etapas acima.
Haddouche notou a substituição do número de identificação de sua conta no parâmetro “A” por um número consecutivo que agora mostrava o endereço de e-mail de outro usuário no campo de e-mail.
Um invasor pode potencialmente obter endereços de e-mail de vários membros da Louis Vuitton sem seu conhecimento ou consentimento, simplesmente enumerando seu ID de conta na URL.
Aquisição de conta via enumeração
Outro aspecto preocupante do site da conta My LV é como ele permitiu que qualquer pessoa ususia a conta de um membro da Louis Vuitton.
Considere que um usuário já havia comprado no site usando seu endereço de e-mail, mas não havia se inscrito em uma conta.
Com base no fluxo de trabalho acima, se um hacker se deparasse com esse endereço de e-mail no curso de adivinhar os IDs da conta um a um, o site não só exporia o endereço de e-mail da conta, mas pediria ao hacker para definir uma senha.
Isso poderia permitir que o invasor criasse uma conta em nome do usuário legítimo e definisse uma senha.
Lembre-se, que uma conta MyLV concede acesso a informações pessoais, pedidos on-line, histórico de compras de acesso, recibos eletrônicos e outros bits sensíveis.
Portanto, uma aquisição de conta através dessa falha poderia potencialmente ter exposto o histórico de compras e dados de compras de um usuário que devem permanecer confidenciais.
Louis Vuitton corrige falha, obrigado pesquisador
Hoje, a Louis Vuitton corrigiu a falha e, como observado pelo BleepingComputer, o site não vaza mais endereços de e-mail arbitrários ou permite aquisições de contas ao navegar para a URL de criação de conta em questão.
A empresa agradeceu ao pesquisador por relatar a falha em um e-mail. Uma tradução aproximada do e-mail mostrado abaixo seria:
Caro Sr. Haddouche, como mencionado anteriormente, estou feliz em voltar para você com mais informações. Tenho o prazer de anunciar que a vulnerabilidade mencionada foi imediatamente corrigida pelo departamento em causa. Agradeço novamente por seu feedback sobre este assunto e mais uma vez ofereço minhas sinceras desculpas pelo mal-entendido do pedido inicial.
Eu permaneço à sua disposição para qualquer outro retorno ou pedido de sua parte.
Embora a Louis Vuitton tenha uma página de recompensa de bugs do HackerOne, ela não parece ser usada ativamente.
Quando perguntado, como as empresas poderiam tornar mais fácil para os pesquisadores relatar vulnerabilidades, Haddouche disse ao BleepingComputer:
“Eu diria que sempre tenha um e-mail dedicado com chaves PGP ou uma maneira segura semelhante para relatar problemas relacionados à segurança (a plataforma de recompensa de bugs YesWeHack tem criptografia PGP em segundo plano para cada relatório) ou como uma conta dedicada de Fio ou Sinal para relatar vulnerabilidades de segurança, e publicá-las em seu site ou em um arquivo security.txt porque basicamente perdemos 2 semanas e a vulnerabilidade já foi divulgada em meus DMs do Twitter e, em seguida, em texto claro por e-mail durante esse tempo.”
“Qualquer um que tenha acesso à sua caixa de correio, Twitter ou minha conta teria sido capaz de ver os detalhes da vulnerabilidade e fazer uso dela”, concluiu.
FONTE: BLEEPING COMPUTER