O site da solução brasileira de pagamento virtual Bcash, agora sob o nome de PayU, possui uma vulnerabilidade chamada IDOR (Insecure Direct Object References), que expõe informações confidenciais de clientes existentes nas milhares de transações realizadas na plataforma.
O que é a vulnerabilidade IDOR?
Ela ocorre quando uma aplicação fornece acesso direto a objetos com base em informações fornecidas por qualquer pessoa. Como resultado disso, atacantes acessam recursos diretamente no sistema, como por exemplo, informações ou arquivos do banco de dados, sem que tivesse sido necessário se autenticar para terem acesso a estas informações.
A exposição de dados no Bcash
Fomos contatados pelos profissionais de segurança da informação da aCCESS Security Lab, Subsolo Vinicius (Ethical Hacker) e Leandro Trindade (Chefe de Operações) que nos forneceram informações sobre a vulnerabilidade que encontraram no site da Bcash.
Fomos informados que as mais de 50 milhões de transações realizadas de 2007 até recentemente (contendo informações confidenciais como CPF, RG, nome completo, produto comprado, etc) estão expostas na Internet, sem nenhuma proteção.
A vulnerabilidade
A vulnerabilidade foi descoberta simplesmente acessando determinada url (não mostraremos aqui por questões obvias) e visualizando o código-fonte da página. Somente isso.
Inicialmente, ao acessar esta url, aparece uma mensagem de confirmação de compra, dando a entender que estamos autenticados, mas na verdade não estamos.
O número da transação aparece na página e na url. Ao modificar este número na url, têm-se acesso a outra transação e às informações dos clientes.
Ao analisar o código-fonte, podemos visualizar as informações do usuário que realizou a compra. Estas informações (data da compra, nome do cliente, endereço de residência, razão social, CPF, RG e outras) foram enviadas por um formulário via método POST e com o input type hidden (oculto).
Conforme informamos anteriormente, onde ao alterar o número da transação na url tem-se acesso a outra transação, é possível que atacantes criem scripts para procurar por todas as transações possíveis e assim montar um banco de dados contendo informações de clientes que podem ser utilizadas por empresas de e-mail marketing, ou pior ainda, para o envio de spam, malware, etc, já que os usuários da plataforma acreditarão em e-mails vindos da mesma.
Direito de resposta
Ainda não conseguimos contato com PayU, Bcash ou com qualquer outra empresa que faça parte do grupo, pois as informações de contato referentes a questões de segurança não estão disponíveis facilmente. Desta forma, ficaremos no aguardo do contato de alguma das empresas e atualizaremos este post a seguir.
Atualização (23/08/2019)
A PayU entrou em contato conosco para dar o seu feedback:
A PayU foi informada em 21 de agosto de 2019 que um chamado IDOR (Insecure Direct Object References) poderia ter sido identificado em uma de suas plataformas antigas em processo de desativação. As equipes da PayU começaram, imediatamente, as análises necessárias e revisaram cada caso. Todas as medidas relevantes de mitigação foram feitas no mesmo dia – 21 de agosto. A PayU reforça que continuará fazendo todas as análises necessárias e tomará as medidas cabíveis. Embora não possamos falar de nenhum caso específico, devido à política da PayU, a empresa reitera seu compromisso com a segurança de ambientes físicos e digitais, a fim de garantir a confidencialidade e a privacidade das informações de sua base de clientes e consumidores, atuando continuamente na implementação, melhoria e atualização de suas ferramentas.
FONTE: https://www.oanalista.com.br/2019/08/21/solucao-pagamento-virtual-expoe-dados-de-clientes/