Вчера Dell предупредиха за data breach, който засяга приблизително 49 млн. техни клиенти.
Но явно това предупреждение е в следствие на обявата за продан в Breach Forum, която е била пусната още на 28 април от киберпрестъпник под псевдоним „Menelik“:
Днес (10 април) става ясен и вектора за осъществяване на атаката:
- нападателят открива партньорски портал на Dell;
- успява да придобие нерегламентиран достъп чрез регистриране на фалшиви компании;
- изглежда проверката от страна на Dell относно истинността на данните също е фиктивна, защото в рамките на 24 до 48ч. фирмите регистрирани от хакера получават статус „Authorized“;
- след като придобива пълноправен достъп до услугите в портала, Melenik открива, че може да извлича (scrape) информация чрез случайно генерирани 7 цифрени сервизни номера (service tags). Този вид уязвимости влизат в категорията Insecure Direct Object References (IDOR) и са едни от най-често срещаните, както според OWASP , така и според водещата консултанска компания за киберсигурност TrustedSec – Most Reported Web Findings of 2023
- в рамките на цели 3 седмици със „скорост“ от 5000 зaявки в минута и напълно необезпокоявано, Menelik е успял да източи данните за 49 милиона клиенти на Dell. Дори дава статистика относно за какъв хардуер става дума:
- Monitors: 22,406,133
- Alienware Notebooks: 447,315
- Chromebooks: 198,713
- Inspiron Notebooks: 11,257,567
- Inspiron Desktops: 1,731,767
- Latitude Laptops: 4,130,510
- Optiplex: 5,177,626
- Poweredge: 783,575
- Precision Desktops: 798,018
- Precision Notebooks: 486,244
- Vostro Notebooks: 148,087
- Vostro Desktops: 37,427
- Xps Notebooks: 1,045,302
- XPS/Alienware desktops: 399,695
В крайна сметка се оказва, че Dell си имат работа с престъпник със съвест, защото първоначално злонамереният хакер ги известява на 12ти и 14ти април за откритите от него проблеми:
и посочва как точно би могла да бъде използвана изтеклата информация – в помощ на така наречените Tech Support Scammers.
От своя страна Dell напълно правомерно отказват да водят диалог с престъпник, но след като знаем как нехайно са се отнесли с първоначалната проверка за достъп до партньорския им портал и със самата му сигурност (липса на rate limits и проактивен мониторинг)… ;)
В заключение от BleepingComputer правилно посочват, че през последните години леснодостъпните приложни програмни интерфейси (API) се превърнаха в огромна мишена за източване на данни (data scraping), като припомнят следните случаи:
533 million Facebook users’ phone numbers leaked on hacker forum
5.4 million Twitter users’ stolen data leaked online — more shared privately
Trello API abused to link email addresses to 15 million accounts