[ad_1]

La semaine dernière, j’ai découvert une vulnérabilité qui exposait les 866 millions d’informations d’identification de compte collectées par pwnedlist.com, un service conçu pour aider les entreprises à suivre les violations de mots de passe publics susceptibles de créer des problèmes de sécurité pour leurs utilisateurs. La vulnérabilité a depuis été corrigée, mais cette simple faille de sécurité peut avoir exacerbé par inadvertance d’innombrables violations en préservant les données perdues et en offrant ensuite un accès gratuit à l’une des plus grandes collections d’informations d’identification compromises sur Internet.

PwndlistPwnedlist est géré par Scottsdale, Arizona. InfoArmoret est commercialisé comme un référentiel de noms d’utilisateur et de mots de passe qui ont été divulgués publiquement en ligne pendant une période quelconque sur Pastebin, des canaux de discussion en ligne et d’autres sites de vidage de données gratuits.

Jusqu’à tout récemment, le service était gratuit pour tous, mais il rapporte de l’argent en permettant aux entreprises d’obtenir un flux en direct des noms d’utilisateur et des mots de passe exposés dans des violations de tiers, ce qui pourrait créer des problèmes de sécurité pour l’organisation abonnée et ses employés.

Cet article de 2014 du Journal d’affaires de Phoenix décrit une façon dont InfoArmor commercialise la Pwnedlist auprès des entreprises : « Le nouvel outil de surveillance de la sécurité des fournisseurs d’InfoArmor permet aux entreprises de faire preuve de diligence raisonnable et de surveiller ses fournisseurs tiers grâce à des rapports de sécurité en temps réel. »

Le problème est que la façon dont Pwnedlist devrait fonctionner est très différente de la façon dont il fonctionne. Cela est devenu évident après que j’ai été contacté par Bob Hodgesun lecteur de longue date et chercheur en sécurité à Detroit qui a découvert quelque chose de particulier alors qu’il utilisait Pwnedlist : Hodges voulait ajouter à sa liste de surveillance les domaines .edu et .com dont il est l’administrateur, mais cette fonctionnalité n’était pas disponible.

Dans le premier signe que quelque chose n’allait pas tout à fait au niveau de l’authentification chez Pwnedlist, le système ne lui permettait même pas de valider qu’il avait le contrôle d’une adresse e-mail ou d’un domaine en lui envoyant une vérification dudit e-mail ou domaine.

D’un autre côté, il a découvert qu’il pouvait surveiller n’importe quelle adresse e-mail qu’il voulait. Hodges a déclaré que cela lui avait donné une idée de la façon d’ajouter ses domaines : il s’avère que lorsqu’un utilisateur de Pwnedlist demande qu’un nouveau nom de site Web soit ajouté à sa « liste de surveillance », le processus d’approbation de cette demande était fondamentalement défectueux.

C’est parce que le processus d’ajout d’une nouvelle chose à rechercher par Pwnedlist – que ce soit un domaine, une adresse e-mail ou un hachage de mot de passe – était une procédure en deux étapes impliquant un bouton d’envoi et une page de confirmation, et la page de confirmation n’a pas pris la peine de vérifiez si la chose ajoutée à la première étape était la même que la chose approuvée dans la page de confirmation. [For the Geek Factor 5 crowd here, this vulnerability type is known as “parameter tampering,” and it involves  the ability to modify hidden parameters in POST requests].

« Leur système est censé comparer les données soumises à la deuxième étape avec celles que vous avez initialement soumises dans la première fenêtre, mais rien ne vous empêche de changer cela », a déclaré Hodges. « Ils ne vérifient même pas les adresses e-mail normales. Par exemple, lorsque vous ajoutez un e-mail à votre liste de surveillance, cet e-mail [account] ne reçoit pas de message indiquant qu’ils ont été ajoutés. Après avoir ajouté un e-mail que vous ne possédez pas ou ne contrôlez pas, il vous donne la case à cocher vérifié, mais en réalité, il n’effectue aucune vérification. Vous venez de le taper. C’est presque comme si à un moment donné, ils avaient simplement désactivé tous les systèmes de vérification qu’ils pouvaient avoir chez Pwnedlist.

Hodges a expliqué que l’on pouvait facilement contourner les contrôles de compte de Pwnedlist en téléchargeant et en exécutant une copie de Kali Linux – une suite gratuite d’outils conçue pour trouver et exploiter les logiciels et les vulnérabilités du réseau.

Toujours étudiant, je voulais voir cela de première main. J’avais un compte Pwnedlist depuis son lancement en 2011, j’ai donc lancé une version virtuelle téléchargeable de Kali en plus de la plate-forme gratuite VirtualBox sur mon Mac. Kali est livré avec un scanner de vulnérabilité assez pratique appelé Burpsuite, qui fait du reniflement, du snarfing et de la falsification du trafic vers et depuis les sites Web un exercice assez simple de pointer-cliquer.

En effet, après environ une minute d’instruction, j’ai pu reproduire les découvertes de Hodges, ajoutant avec succès Apple.com à ma liste de surveillance. J’ai aussi trouvé que je pouvais ajouter pratiquement n’importe quelle ressource que je voulais. Bien que j’ai vérifié que je pouvais ajouter des domaines de premier niveau tels que « .com » et « .net », je n’ai pas exécuté ces requêtes car je soupçonnais que cela ferait planter la base de données et, dans tous les cas, pourrait attirer une attention indésirable sur mon compte. . (J’ai également résisté à la forte tentation de simplement me taire à propos de ce bogue et de l’utiliser comme mon propre service privé d’alerte de violation pour les entreprises du Fortune 500).

Hodges m’a dit que tout domaine nouvellement ajouté prendrait environ 24 heures pour être rempli avec les résultats. Mais pour une raison quelconque, mon compte prenait beaucoup plus de temps. Ensuite, j’ai remarqué que l’adresse e-mail que j’avais utilisée pour m’inscrire au compte gratuit en 2011 n’avait aucun résultat dans Pwnedlist, et ce n’était tout simplement pas possible si Pwnedlist faisait un travail à moitié décent pour suivre les violations. J’ai donc envoyé un ping à InfoArmor et leur ai demandé de vérifier mon compte. Effectivement, ont-ils dit, il n’avait jamais été utilisé et avait été désactivé il y a longtemps.

Moins de 12 heures après qu’InfoArmor a relancé mon compte inactif, j’ai reçu une alerte automatique par e-mail de la Pwnedlist m’informant que j’avais de nouveaux résultats pour Apple.com. En fait, le rapport que j’ai ensuite pu télécharger comprenait plus de 100 000 noms d’utilisateur et mots de passe pour les comptes se terminant par apple.com. Les données étaient disponibles en texte brut et téléchargeables sous forme de tableur.

Certaines des plus de 100 000 informations d

Certaines des plus de 100 000 informations d’identification que Pwnedlist m’a renvoyées dans un rapport sur tous les mots de passe liés aux adresses e-mail qui incluent « apple.com ».

Il a fallu un certain temps pour que l’énormité de ce qui venait de se passer se fasse sentir. Je pouvais désormais demander un rapport comprenant les 866 millions d’informations d’identification de compte enregistrées par la Pwnsedlist. En bref, la Pwnedlist avait été pwned.

À ce stade, j’ai repris contact avec InfoArmor et leur ai dit ce que Hodges m’avait trouvé et montré. Leur première réponse a été que d’une manière ou d’une autre, on m’avait donné un compte privilégié sur Pwnedlist, et que c’est ce qui m’a permis d’ajouter n’importe quel domaine que j’ai choisi. Après tout, j’avais ajouté les 20 premières entreprises du Fortune 500. Comment avais-je pu faire cela ?

« Le type de compte que vous aviez avait plus de privilèges qu’un utilisateur ordinaire », a insisté le fondateur de Pwnedlist, Alen Puzic.

Après avoir validé le bogue, j'ai ajouté d'autres domaines juste pour rire.  Je les ai tous supprimés (sauf celui d'Apple) avant qu'ils ne puissent générer des rapports.

Après avoir validé le bogue, j’ai ajouté d’autres domaines juste pour rire. Je les ai tous supprimés (sauf celui d’Apple) avant qu’ils ne puissent générer des rapports.

Je doutais que ce soit vrai et je soupçonnais que la vulnérabilité était présente dans leur système, quel que soit le type de compte utilisé. Puzic a déclaré que la société avait cessé d’autoriser les inscriptions gratuites à un compte il y a environ six mois, mais comme je l’avais au téléphone, je lui ai suggéré de créer un nouveau compte gratuit uniquement à des fins de test.

Il a plutôt gentiment accepté. Dans les 30 secondes suivant l’activation du compte, j’ai pu ajouter « gmail.com » à ma liste de surveillance Pwnedlist. Si nous lui avions donné suffisamment de temps, cette requête aurait presque certainement amené Pwnedlist à produire un rapport avec des dizaines de millions d’informations d’identification compromises impliquant des comptes Gmail.

« Wow, donc vous pouvez vraiment ajouter le domaine que vous voulez », a déclaré Puzic avec étonnement alors qu’il chargeait et visualisait mon compte de son côté.

Pwnedlist.com s'est déconnecté peu de temps après mon appel téléphonique avec InfoArmor.

Pwnedlist.com s’est déconnecté peu de temps après mon appel téléphonique avec InfoArmor.

Il est dommage qu’InfoArmor n’ait pas pu concevoir de meilleurs systèmes d’autorisation et d’authentification pour Pwnedlist, étant donné que le service lui-même est un monument aux défaillances d’objets à cet égard. Je crois fermement que les entreprises obtiennent de meilleures informations sur la façon dont les violations de mots de passe quotidiennes à grande échelle peuvent affecter leur sécurité, mais cela n’aide personne lorsqu’un service qui répertorie les violations a une faiblesse de sécurité boiteuse qui les prolonge et les exacerbe potentiellement.

Mise à jour, 12h30 HE : InfoArmor a minimisé le problème sur Twitter, notant que « les données qui ont été » exposées « ont déjà été » compromises « – il n’y a pas eu de perte de PII ou de données d’abonné. » De plus, un nouvel avis est en place sur Pwnedlist.com, indiquant que le site sera fermé dans quelques semaines. Le message contextuel indique :

« Merci d’être abonné et de nous permettre de vous alerter de tout risque lié à vos informations d’identification personnelles. PwnedList a été lancé en 2012 et est rapidement devenu le leader de l’agrégation de données compromises open source. En 2013, PwnedList a été acquis par InfoArmor, Inc., un fournisseur de services aux entreprises. Dans le cadre de la transition, le site Web PwnedList doit être mis hors service le 16 mai 2016. Si vous souhaitez obtenir notre protection d’identité commerciale, veuillez vous rendre sur infoarmor.com pour plus d’informations. Nous avons eu le plaisir de vous aider à réduire les risques liés aux informations d’identification compromises. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *