Alo, curierul! Un colet, un cod și prea multe informații personale

În fiecare zi lucrătoare, aproape un milion de colete sunt programate spre livrare pe teritoriul României. Aceste colete sunt identificate printr-un număr aparent aleator și banal, cunoscut ca AWB (de la air way bill). Îl primești pe SMS sau e-mail, verifici de câteva ori care e progresul livrării, apoi uiți complet de el după ce intri în posesia bunului comandat.

Acest articol este bazat pe descoperirile lui Radu BASARABA, cercetător la Bitdefender.

Din sumar

• Cercetătorii Bitdefender au descoperit o eroare tehnică care ar fi putut permite unui atacator să adune informații personale precum numele și prenumele, adresa de livrare și numărul de telefon prin simpla interogare a codurilor AWB aleatorii din platforma Cargus.
• Dincolo de expunerea de date cu caracter personal, un atacator ar fi putut manipula și procesul de livrare prin refuz sau redirecționare.
• Vulnerabilitatea a fost remediată imediat după ce a fost raportată către Cargus.

Privit mai de aproape, numărul AWB e o cheie către o poveste completă: spune cine trimite, cine primește, unde locuiește fiecare, ce traseu urmează coletul și, uneori, cât valorează. În anumite cazuri, include chiar și detalii operaționale precum PIN-uri de livrare sau opțiuni de redirecționare și refuz. Un număr AWB oferă și localizare, și context, și o multitudine de date personale care fac livrarea ușoară și flexibilă, iar contextul este exact ce caută un adversar care vrea să construiască o fraudă credibilă.

Dacă știi că cineva așteaptă un colet, de la cine vine și unde trebuie să ajungă, poți suna liniștit în numele curierului. Poți trimite un SMS „oficial”. Poți convinge victima să plătească o taxă fictivă sau să îți dea codul de livrare. În scenarii mai agresive, poți să încerci chiar interceptarea coletului.

Pe scurt, un AWB nu e sensibil pentru că ar conține un secret, ci pentru că leagă mai multe puncte de date între ele și creează o imagine completă a destinatarului.

Tocmai din acest motiv, companiile de curierat oferă două tipuri de detalii pentru fiecare interogare de AWB. Pe de o parte, orice utilizator poate interoga un AWB care nu-i aparține, însă informațiile oferite se vor limita la starea expediției (Expediat, În tranzit, Livrat), fără alte detalii personale.

Pe de altă parte, utilizatorii autentificați în conturile lor vor putea vedea toate informațiile asociate expediției, inclusiv adresa de livrare, adresa de e-mail a destinatarului, precum și numărul lui de telefon. Aceleași informații sunt disponibile și pentru expeditor în majoritatea cazurilor. Dar, pentru că aceste date ar trebui să fie disponibile doar destinatarului autentificat, se presupune că informațiile rămân confidențiale.

În terminal, AWB-ul arată altfel

Și pentru că la Bitdefender urmărim uneori progresul coletelor noastre din terminal, în timpul unei livrări efectuate de Cargus am descoperit că endpointul folosit pentru a obține detalii despre AWB-uri nu verifica dacă acel cod aparține utilizatorului autentificat. Mai concret, orice utilizator cu un token valid putea interoga orice AWB și primea răspuns complet.

curl 'https://cmacwabackend.azurewebsites.net/api/Awbs/FullAwb?
BarCode=11[redactat]04&forSender=False&lang=RO' \
--compressed \
-H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:148.0) Gecko/20100101 Firefox/148.0' \
-H 'Accept: */*' \
-H 'Accept-Language: en-US,en;q=0.9' \
-H 'Accept-Encoding: gzip, deflate, br, zstd' \
-H 'Referer: https://mycargus.cargus.ro/' \
-H 'authorization: Bearer
zXqBmNkIiJSUzM3NiIsI[redactat]ixy7vDtorF0O2vx' \
-H 'k: f7b2e9450[redactat]Y61Yc4X8fZ9' \
-H 'source: 1' \
-H 'Origin: https://mycargus.cargus.ro' \
-H 'DNT: 1' \
-H 'Sec-GPC: 1' \
-H 'Connection: keep-alive' \
-H 'Sec-Fetch-Dest: empty' \
-H 'Sec-Fetch-Mode: cors' \
-H 'Sec-Fetch-Site: cross-site' \
-H 'Priority: u=6' \
-H 'TE: trailers'

Răspunsul primit de la API nu era limitat și includea nume, adresă, telefon, email, detalii despre colet și istoricul livrării. Unul dintre aspectele care facilitează potențiala acumulare de informații personale ține de modul în care sunt generate AWB-urile. Fiind numerice, acestea sunt alocate consecutiv, ceea ce face posibilă interogarea lor în mod automat.

Pentru coletele aflate în tranzit, API-ul putea returna inclusiv PIN-ul de livrare și permite acțiuni precum redirecționarea coletului.

Vulnerabilitate remediată în timp record

Cercetătorii de la Bitdefender au raportat problema către Cargus imediat după confirmare.

Răspunsul a fost exact cum ar trebui să fie în industrie: rapid și eficient. Vulnerabilitatea a fost remediată în mai puțin de două ore de la raportare, iar accesul la datele AWB a devenit posibil doar utilizatorilor autorizați.

Mulțumim echipei Cargus pentru promptitudinea cu care au tratat cazul și pentru colaborarea deschisă pe parcursul procesului de remediere.