Hj em dia, todo mundo já deve ter esbarrado em alguma newsletter, e pode até ser assinante de alguma. Newsletter… aqueles serviços que cadastramos nosso email e recebemos de vez em quando atualizações, notícias, etc.
Mas você já pensou nos efeitos de uma newsletter vazar a lista de email de todos os assinantes? E se uma vulnerabilidade permitir que alguém envie emails com vírus/conteúdos maliciosos para todos os assinantes? E caso vaze uma credencial que permita a deleção de todos os assinantes? 🤔
Esse é o caso de hj
Então, vou contar aq:
- Como encontrei o alvo
- Como achei e explorei a vulnerabilidade
- Como fiz a comunicação pros responsáveis
Como encontrei o alvo
Ces lembram desse caso aqui De um mimo até a elevação de privilégios na Cloud? Durante a explicação da vulnerabilidade, comentei sobre uma URL muito estranha com o formato <REDACTED>/live/index/xnull/xfalse/xfalse/en_us/xfalse/xfalse/dynamic.js
e contei que ia investigar mais. Então, meio que chegou a hora de começar a contar.
Descobri que essa URL é do https://bubble.io/ e está relacionada a uma cacetada de vazamentos de dados sensíveis.
Através de um método que eu ainda vou contar no futuro (Estou adiando pq estou esperando o fix do Bubble), achei centenas de URLs como a desse caso vazando informações. Até cheguei a dar spoilers nesse tweet ⬇️
Através dessas centenas de URLs, cheguei em https://app.flexiple.com/ que tem um desses links com informações sensíveis vazando package/dynamic_js/<REDACTED>/flexiple-internal-dashboard/live/login/xnull/xfalse/xfalse/en_us/xfalse/xfalse/dynamic.js
.
Nesse caso, as informações vazando eram
- Token do OpenAI
- Token do FreeCurrencyApi
- API Key do serviço https://www.beehiiv.com (que é o ouro do dia 🤩)
Explorando
Usando a API Key do serviço https://www.beehiiv.com (que é uma plataforma famosa para a criação de newsletters), além de termos acesso ao cadastro de todos os 28.466 inscritos da newsletter, de acordo com a documentação da API, é possível disparar emails, deletar usuários e até mesmo deletar a newsletter 😱.
Felizmente, testei apenas listar os inscritos na nesletter 🙏.
Report
Após confirmar o impacto do vazamento, usei a maravilhosa ferramenta https://hunter.io/ para encontrar o email de alguém da Flexiple. Dia 14/08 enviei o email pra equipe relatando
Ainda dia 14 a equipe me retornou solicitando mais detalhes técnicos de como reproduzir a vulnerabilidade, onde achei o que e etc. Que prontamente respondi.
Hoje, dia 12/09 a equipe da empresa me enviou um email avisando que a vulnerabilidade havia sido corrigida. Fiz o reteste e tudo certo 👌.
Conclusão
Considero esse caso como um caso padrão de sucesso. O time da empresa foi atencioso ao tratar o report e responder com o resultado do fix. Responsible Vulnerability Disclosure não é um bicho de sete cabeças e qualquer pessoa é capaz de fazer. Esse report foi um exemplo de vulnerabilidade de baixa dificuldade técnica e grande impacto. Além de ter ajudado na segurança da empresa e usuários, tive a oportunidade de praticar 👍.
Sobre o fix que a empresa adotou, eles removeram as informações sensíveis do arquivo javascript exposto. Porém, infelizmente, eles não rotacionaram as API Keys e tokens vazados 😢, o que significa que ainda tenho os tokens válidos aqui e possivelmente outras pessoas pela internet também 😰. Um dos trabalhos dos profissionais de segurança é justamente estabelecer um plano para erradicação correta das vulnerabilidades.
DISCLAIMER: Esse é um conteúdo educativo sobre cibersegurança e sobre os riscos de não conhecê-la 🤣. Se voce tomar qualquer ação baseada nas informações desse post, tome por sua própria conta e risco. Abusar de vulnerabilidades pode trazer graves consequências legais.
Top comments (0)