Jak można było skasować nagrania z dekoderów tysięcy klientów UPC

dodał 27 lutego 2019 o 19:02 w kategorii Info, Wpadki  z tagami:
Jak można było skasować nagrania z dekoderów tysięcy klientów UPC

Budowanie narzędzi do zarządzania sporą infrastrukturą nie jest prostym zadaniem. Czasem wystarczy jeden błąd, by okazało się, że infrastrukturą może zarządzać każdy internauta znający odpowiedniego linka.

Możliwość samodzielnego przeprowadzenia przez klienta wielu operacji za pomocą odpowiedniej strony WWW na pewno znacząco upraszcza procesy obsługi i obniża jej koszty. Problem jednak powstaje, gdy okazuje się, że nie tylko klient może przeprowadzać operacje w swoim imieniu.

Niespodziewane odkrycie

Jeden z naszych Czytelników, Ion, odkrył coś ciekawego na serwerze firmy UPC. Jak sam napisał w zgłoszeniu przekazanym UPC:

Kilka dni temu, przy próbie skorzystania z Asystenta Pomocy UPC, odkryłem, że zawołania do API pod adresem: http://app.upc.pl/szyna-danych/ nie są autoryzowane. Oznacza to, że w praktyce możliwe jest wykonanie poniższych czynności dla każdego z Państwa klientów bez jakiejkolwiek autoryzacji:

– sprawdzenie, czy nie zalega z opłatami

– sprawdzenie dostępnych usług

– sprawdzenie prędkości internetu

– sprawdzenie, z jakiego sprzętu korzysta

– odświeżenie karty do dekodera

oraz najważniejsze: sformatowanie dysku twardego w nagrywarce Mediabox! Można to zrobić preparując odpowiednio URL: http://app.upc.pl/szyna-danych/products/format-hdd?id=[id] – ten URL sformatuje dysk, bez żadnej autoryzacji. Oczywiście możliwe byłoby przeiterowanie po wszystkich liczbach od 1 do 5 000 000 i sformatowanie dysku wszystkim klientom, którzy akurat mają podłączony ten dekoder. Może nie jest to bardzo poważna ingerencja, ale ktoś, kto nagrywa sobie mecze czy inne programy, mógłby się dość mocno zdenerwować :) Oprócz tego, dostępne są logi aplikacji „Szyna danych” pod adresem: http://app.upc.pl/szyna-danych/storage/logs/laravel.log, a pod http://app.upc.pl/szyna-danych/.env znajdziemy zmienne środowiskowe, gdzie znaleźć można nieco więcej szczegółów. Oprócz tego, dostępny jest http://app.upc.pl/szyna-danych/composer.lock, który podpowiada, że aplikacja jest oparta na Laravelu 5.4.27.

Lista problemów wyglądała dość ciekawie. Co prawda, ujawnione błędy nie pozwalały na ustalenie danych osobowych użytkowników UPC, jednak umożliwiały np. pozyskanie informacji o tym, jakie produkty mają klienci firmy czy też ilu z nich zalega z opłatami. O ile informacje te nie są kluczowe z punktu widzenia klienta (atakujący mógł powiązać je jedynie z numerem klienta), o tyle możliwość zdalnego sformatowania dysku twardego to już zupełnie inna para kaloszy. Biorąc pod uwagę fakt, że ID klienta UPC należą do liczb całkowitych z dość ograniczonego zakresu, ryzyko, że ktoś skasuje wszystkie nagrania klientów z dekoderów Mediabox było całkiem realne.

Przykład interfejsu, do którego uzyskał dostęp odkrywca błędu

Odpowiedź UPC

Skontaktowaliśmy się z Michałem Furą, rzecznikiem firmy, który potwierdził występowanie podatności:

Potwierdzamy otrzymanie zgłoszenia i możliwość wykonania wymienionych zapytań dla konkretnego ID. Należało oczywiście znać ID klienta. W efekcie zgłoszenia wprowadzono poprawki, mające na celu załatanie podatności. Najistotniejszy błąd ( możliwość formatu dysku i odświeżenia karty) został wyeliminowany. Prace nad zoptymalizowaniem funkcjonowania aplikacji trwają. Zapytania nie zwracały danych osobowych abonentów.

Niestety mimo naszych pytań oficjalnymi kanałami nie poznaliśmy liczby klientów, którzy dysponują obecnie dekoderami Mediabox. Kiedyś były bardzo popularne, lecz są od dłuższego czasu zastępowane nowszymi modelami, dekoderami Horizon. Nieoficjalnie dowiedzieliśmy się, że liczba użytkowników Mediaboksów może solidnie przekraczać 100 000.

Podsumowanie

Wygląda zatem na to (co potwierdził także nasz Czytelnik), że najpoważniejsze problemy zostały usunięte. Proces zajął kilka dni, lecz ostatecznie odkrywca błędu otrzymał podziękowania oraz pół roku abonamentu gratis, co jest miłym gestem ze strony dostawcy usługi. Klienci UPC mogą się cieszyć, że odkrycia dokonał ktoś, kto wolał błąd odpowiedzialnie zgłosić, niż nieodpowiedzialnie wykorzystać.

Ważna informacja dodatkowa: Autor artykułu do połowy 2017 odpowiadał za bezpieczeństwo danych w UPC.