image

Klantgegevens online wapenwinkel eenvoudig te achterhalen via IDOR-lek

woensdag 3 augustus 2022, 13:57 door Redactie, 3 reacties

Gegevens van klanten van een online wapenwinkel waren eenvoudig door middel van een IDOR-kwetsbaarheid te achterhalen. Nadat onderzoekers van securitybedrijf Rapid7 het probleem openbaar maakten werd de kwetsbaarheid door Primary Arms verholpen. Primary Arms is een Amerikaans bedrijf dat wapens aan zowel particulieren als overheden levert.

Gegevens van klanten waren door een IDOR-kwetsbaarheid eenvoudig voor andere klanten in te zien. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

In het geval van Primary Arms hoefde een ingelogde klant alleen de acht cijfers van een bestelling te wijzigen om andere bestellingen te zien. Vervolgens waren naam, adresgegevens, telefoonnummer, trackinginformatie, betaalmethode en aangekochte wapens en munitie zichtbaar, alsmede de laatste vier cijfers van het gebruikte creditcardnummer.

Volgens de onderzoekers zouden alle bestellingen met een eenvoudig script in een paar minuten zijn te verzamelen. Het waarschuwen van Primary Arms bleek een lastig proces, waarbij zelfs een aangetekende brief werd gebruikt. Gisteren besloten de onderzoekers hun bevindingen openbaar te maken, waarna de wapenleverancier het probleem verhielp.

Reacties (3)
03-08-2022, 14:24 door Anoniem
Alternatieve titel: Rapid7 ontdekt achterdeur FBI voor achterhalen klantgegevens webshop wapenwinkel.
03-08-2022, 15:06 door Anoniem
Door Anoniem: Alternatieve titel: Rapid7 ontdekt achterdeur FBI voor achterhalen klantgegevens webshop wapenwinkel.
In het artikel wordt de FBI helemaal niet genoemd.
Vuurwapens behoren niet tot de takenlijst van FBI maar is meer het werk voor de ATF.
(Federale Bureau voor Alcohol, Tabaco and Firearms)
03-08-2022, 16:51 door Anoniem
Door Anoniem: Alternatieve titel: Rapid7 ontdekt achterdeur FBI voor achterhalen klantgegevens webshop wapenwinkel.

Inderdaad; in de Verenigde Staten ben je al snel verdacht als je op je dertigste minder dan X hebt aangeschaft.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.