IDOR ranjivost na GNK Dinamo otkriva podatke članova, sličan propust na ulaznice.hr
IDOR ranjivost na GNK Dinamo omogućava pristup članskim podacima; sličan propust otkriven na ulaznice.hr.
HrvatskaŠta se desilo?
Bezbedonosni istraživači identifikovali su Insecure Direct Object Reference (IDOR) ranjivost na zvaničnoj web aplikaciji fudbalskog kluba GNK Dinamo. Propust je omogućavao bilo kojem korisniku sa validnom prijavom da pristupi ličnim podacima drugih članova kluba jednostavnom promenom broja članske karte u URL-u. Slična ranjivost je otkrila i na platformi ulaznice.hr, gde su kupovine i potvrde ostale dostupne čitaocima sa sekvencijalnim ID brojevima.
Koga pogađa?
Članove GNK Dinamo kluba čiji su lični podaci bili dostupni neovlašćenom pristupu - imena, kontakti i informacije iz članskih kartica. Takođe, sve korisnike koji su kupovati ulaznice preko ulaznice.hr platforme čije su transakcije i potvrde mogu biti pregledale od strane drugih korisnika.
Kako se zaštititi?
- Ako ste članovi GNK Dinamo kluba, pretpostavite da su vaši podaci mogli biti dostupni između otkrivanja i popravke - razmislite o promeni lozinki
- Pratite svoju člansku karticu i lične podatke na sumnjive aktivnosti
- Korisnici ulaznice.hr trebali bi da proveravaju svoje račune za neobične transakcije
- Izbegavajte ponovno korišćenje istih lozinki na različitim sajtovima
Tehnički detalji
Ranjivost je locirana na API endpoint-u GET /conn/9/v1/memberships/getMemberData/{barcode} koji je zahtevao JWT token za autentifikaciju, ali nije proveravao da li prijavljeni korisnik ima pravo pristupa traženim podacima. Napadač je mogao proizvoljno menjaće vrednost barcode parametra da pristupi informacijama bilo kojeg člana. Na ulaznice.hr, sekvencijalni ID-jevi u URL-u omogućavaju pristup čitavim potvrdama kupovine bez vlasničke provere. GNK Dinamo je već ispravio svoju ranjivost, dok je ulaznice.hr problem još uvek prijavljen.
Preporuka Sajber Radara
IDOR ostaje česta i opasna ranjivost jer je laka za eksploataciju ali često je previden tijekom razvoja. Savetujemo sve razvijače aplikacija da primene stroge autorizacione provere pre nego što vrate bilo koje podatke - svaki zahtev mora biti validiran da li trenutni korisnik ima dozvolu pristupiti traženom resoursu, bez obzira na tip identifikatora.