Mood Indigo, культурний фестиваль IIT Bombay, впровадив технології для покращення досвіду, але все ще вразливий до серйозних проблем у сфері кібербезпеки.
Вступ
Mood Indigo, культурний фестиваль IIT Bombay, вже давно є символом відмінності. Учасники з усієї Індії приїжджають на Mood Indigo. Однак із зростаючою залежністю від технологій, я виявив, що вебсайт 2024 року має вразливості, які піддають його серйозним кіберзагрозам. У цій статті я розгляну ці недоліки, визначу потенційні ризики та поділюся доказами концепції для цих вразливостей.
Виявлені вразливості безпеки
Перевірка OTP на стороні клієнта
Уявіть собі замок на дверях, а ключ висить прямо на ручці. Саме це я виявив, коли перевірка OTP відбувалась на стороні клієнта. Лише кілька маніпуляцій з системою, і я зміг обійти перевірку OTP і отримати несанкціонований доступ до електронних листів набагато швидше, ніж ви скажете “Mood Indigo”.
Маніпуляція лідербордом
Бажаєте стати чемпіоном, не піднявши й пальця? Бали CCP (College Connect Program) на лідерборді були ідеальними для маніпуляцій. Перехопивши правильну точку доступу, я міг легко збільшити бали, як надути повітряну кулю на дитячому святі. Простий запит — і ось я вже суперзірка, але зовсім з інших причин.
Вивантаження даних користувачів
Неавтентифікована точка доступу API відкрила портал з масивом даних користувачів, ніби ви залишили скриню з золотими монетами прямо на вулиці. Відкритий набір даних містив близько 88 500 записів з чутливою інформацією, такою як:
- Імена користувачів
- Стать
- Адреси електронної пошти
- Хешовані паролі (не такі безпечні, як здаються)
- Google ID
- Номери телефонів
- Дати народження (тому що вік — це не просто число тут)
- ID університету
- Посилання на соціальні мережі (для всіх ваших потреб у шпигуванні)
- Академічна інформація (рік навчання, спеціальність)
- Інтереси та реферальні коди
- Дані про акаунт (бали CCP, рівні, монети MI)
Попередні проблеми безпеки
Це не перший випадок, коли Mood Indigo стикається з вразливостями. Насправді, історія повторюється — як ваші улюблені сиквели Боллівуду. Стаття на Medium 2023 року (перегляньте її тут) описала подібні проблеми, доводячи, що блискавка справді вражає двічі, коли йдеться про погану кібербезпеку.
Докази концепції
Для всіх скептиків, які думають: “Це не може бути правдою”, ось як все сталося:
Ламаємо перевірку OTP
Я відкрив інструменти розробника браузера, перейшов на вкладку «Network», перехопив запит на перевірку OTP і перевірив відповідь. OTP було прямо на стороні клієнта. Вітаю, я в акаунті когось іншого. Поле пароля абсолютно не мало сенсу, якщо OTP використовувалося для входу щоразу.
Браузер з відкритими інструментами розробника.
Підвищення балів CCP
Бали CCP використовувалися для надання різних переваг учасникам на основі їхнього рейтингу на лідерборді. Користувачі отримували бали CCP, виконуючи завдання та ділячись публікаціями Mood Indigo в Instagram, LinkedIn та Facebook. За допомогою Burpsuite я перехопив і відправив запит на точку доступу CCP, претендуючи на будь-яку кількість публікацій у соціальних мережах. Моє ім’я стрімко піднялося на перше місце, швидше за крикетний м’яч, який вдарив Вірат Кохлі. Я міг збільшити бали будь-кого, якщо мав їхній ID користувача (а я його мав).
Перехоплений і маніпульований запит для отримання балів CCP.
Я на вершині їхнього лідерборду.
Статус на моєму профілі.
Вивантаження даних користувачів
Це була весела частина. Я помітив, що лідерборд займає багато часу на рендеринг.
Лідерборд рендерився на стороні клієнта, що означало, що вся база даних користувачів відправлялася на будь-який пристрій, який її рендерив, навіть якщо відображались тільки дані увійшовшого користувача. Надіславши простий GET запит (БЕЗ АУТЕНТИФІКАЦІЇ!!!) до відкритої точки доступу API, я витягнув 88 500 записів користувачів. Це було схоже на риболовлю, але замість форелі я ловив чутливу інформацію. Навіть якщо й була необхідність надіслати всі записи, не було потреби включати всі колонки — але точка доступу робила саме це.
Вивантаження всієї бази користувачів.
Розкриті записи у форматі CSV.
Викриті поля.
Заклик до дії
Безпека — це спільна відповідальність. Такі фестивалі, як Mood Indigo, що приваблюють великі аудиторії, повинні приділяти першочергову увагу цілісності цифрової інфраструктури. Регулярні аудити, суворі заходи автентифікації та впровадження безпечного мислення є надзвичайно важливими.
Якщо ви є ентузіастом кібербезпеки або технологічно підкованим учасником фестивалю, нехай це стане для вас м’яким нагадуванням: залишайтеся пильними, повідомляйте відповідально і ніколи не втрачайте пильності — адже ви ніколи не знаєте, коли ваші бали на лідерборді можуть таємниче злетіти.
Подяка
Я намагався звернутися до організаторів та відповідних осіб із повідомленням про виявлені вразливості через електронну пошту, але безрезультатно. Однак на момент написання цієї статті вразливі точки доступу не функціонують.
Також велика подяка Арьяну Бхарті, чия стаття допомогла мені виявити проблеми безпеки, що стосуються найбільших подій IITB.
Висновок
Підсумовуючи, хочу наголосити на тому, що навіть невеликі технологічні впровадження можуть бути бездоганними, але, з іншого боку, навіть реалізації, створені довіреними установами, і з таким масштабом, як у порталу Mood Indigo IITB, можуть мати наївні вразливості. Тому важливо бути пильним і не судити книгу за обкладинкою.
Моя мета — поширювати усвідомленість у сфері кібербезпеки, і я не маю наміру ображати чи принижувати будь-яких осіб, групи чи установи, роблячи це.
Залишайтеся в безпеці, будьте допитливими.
Перекладено з: I hacked IIT Bombay’s website. Here’s exactly how I did it. PS: It’s not the first time.