49 млн. клиентски записа изтекли от партньорски портал на DELL

Престъпника е регистрирал фалшиви компании за да придобие достъп до информацията

Вчера Dell предупредиха за data breach, който засяга приблизително 49 млн. техни клиенти.

Но явно това предупреждение е в следствие на обявата за продан в Breach Forum, която е била пусната още на 28 април от киберпрестъпник под псевдоним „Menelik“:

Днес (10 април) става ясен и вектора за осъществяване на атаката:

  • нападателят открива партньорски портал на Dell;
  • успява да придобие нерегламентиран достъп чрез регистриране на фалшиви компании;
  • изглежда проверката от страна на Dell относно истинността на данните също е фиктивна, защото в рамките на 24 до 48ч. фирмите регистрирани от хакера получават статус „Authorized“;
  • след като придобива пълноправен достъп до услугите в портала, Melenik открива, че може да извлича (scrape) информация чрез случайно генерирани 7 цифрени сервизни номера (service tags). Този вид уязвимости влизат в категорията Insecure Direct Object References (IDOR) и са едни от най-често срещаните, както според OWASP , така и според водещата консултанска компания за киберсигурност TrustedSec – Most Reported Web Findings of 2023
  • в рамките на цели 3 седмици със „скорост“ от 5000 зaявки в минута и напълно необезпокоявано, Menelik е успял да източи данните за 49 милиона клиенти на Dell. Дори дава статистика относно за какъв хардуер става дума:
    • Monitors: 22,406,133
    • Alienware Notebooks: 447,315
    • Chromebooks: 198,713
    • Inspiron Notebooks: 11,257,567
    • Inspiron Desktops: 1,731,767
    • Latitude Laptops: 4,130,510
    • Optiplex: 5,177,626
    • Poweredge: 783,575
    • Precision Desktops: 798,018
    • Precision Notebooks: 486,244
    • Vostro Notebooks: 148,087
    • Vostro Desktops: 37,427
    • Xps Notebooks: 1,045,302
    • XPS/Alienware desktops: 399,695

В крайна сметка се оказва, че Dell си имат работа с престъпник със съвест, защото първоначално злонамереният хакер ги известява на 12ти и 14ти април за откритите от него проблеми:

и посочва как точно би могла да бъде използвана изтеклата информация – в помощ на така наречените Tech Support Scammers.

От своя страна Dell напълно правомерно отказват да водят диалог с престъпник, но след като знаем как нехайно са се отнесли с първоначалната проверка за достъп до партньорския им портал и със самата му сигурност (липса на rate limits и проактивен мониторинг)… ;)

В заключение от BleepingComputer правилно посочват, че през последните години леснодостъпните приложни програмни интерфейси (API) се превърнаха в огромна мишена за източване на данни (data scraping), като припомнят следните случаи:

533 million Facebook users’ phone numbers leaked on hacker forum
5.4 million Twitter users’ stolen data leaked online — more shared privately
Trello API abused to link email addresses to 15 million accounts

Exit mobile version