Nhà cung cấp HDD được chứng nhận lại Goharddrive đã bị rò rỉ hàng ngàn chi tiết khách hàng

Nhà phát triển Michael Lynch đã nộp đơn RMA cho nhà cung cấp lưu trữ đã qua sử dụng goHardDrive GHD và trong quá trình này, ông vô tình phát hiện ra rằng công ty đang để lộ thông tin khách hàng qua một cổng kiểm tra trạng thái RMA không an toàn. Theo bài viết trên blog của ông, bất kỳ ai cũng có thể kiểm tra trạng thái RMA của GHD qua ghdwebapps.comrma bằng cách nhập số RMA, có định dạng GHD00000. Điều này sẽ hiển thị một bảng thông tin chi tiết khách hàng, bao gồm tên, địa chỉ, email, số điện thoại, số đơn hàng, ngày tháng và sản phẩm cần trả lại, cùng lý do trả hàng.

Tất cả thông tin này sẽ không thành vấn đề nếu biểu mẫu là riêng tư. Tuy nhiên, bất kỳ ai cũng có thể nhập một số RMA hợp lệ, và trang web sẽ trả về tất cả thông tin mà không cần xác thực quyền sở hữu RMA. GHD cũng sử dụng URL sau để hiển thị tất cả dữ liệu: https://ghdwebapps.com/rmacheck?rmaNo=GHD12345&fromButton1. Vì vậy, hầu như ai cũng có thể dễ dàng viết một script để quét qua tất cả các số RMA của GHD và tổng hợp thông tin khách hàng.

Dù bạn không biết lập trình hay cách sử dụng AI để tạo ra một chương trình, bạn vẫn có thể dễ dàng nhập số RMA trên trang web và thu thập thông tin cá nhân một cách thủ công. Một ổ cứng 28 từ Amazon có vẻ hợp lệ mặc dù giá của nó là 16 tỷ tài khoản đã bị lộ trong một trong những vụ rò rỉ dữ liệu lớn nhất trong lịch sử. Một người xây dựng PC may mắn chỉ phải trả 146 đô la cho ổ SSD 2TB 990 Evo Plus, và khi phát hiện ra rò rỉ, anh ta đã gửi email cho công ty, và GHD đã phản hồi trong vòng hai giờ, cho biết sẽ khắc phục sự cố trong vòng ba đến năm ngày làm việc.

Mặc dù GHD không cập nhật thông tin, Lynch vẫn phải liên hệ với công ty để biết tình hình. Họ đã thêm hai mục nhập cần nhập để tiết lộ thông tin khách hàng — mã ZIP và số nhà. Dù có vẻ đủ cho người dùng bình thường, nhưng điều này lại dễ dàng cho một hacker quyết tâm. Có khoảng 42.000 mã ZIP hợp lệ ở Mỹ, và số nhà thường từ 0 đến 100, nghĩa là bạn chỉ cần thử 4.

Có tới 2 triệu khả năng sắp xếp cho mỗi số RMA để đạt được kết quả hợp lệ. Mặc dù con số này có vẻ lớn, nhưng Lynch cho rằng "tối ưu hóa bằng cách sử dụng các mã ZIP và số nhà phổ biến có thể giúp kẻ tấn công có 50% cơ hội thành công sau khoảng 50.000 lần đoán." Điều này vẫn là một con số lớn nếu thực hiện thủ công. Tuy nhiên, với sự phổ biến của các máy chủ dữ liệu, việc tấn công bằng brute force trở nên dễ dàng và rẻ hơn rất nhiều hiện nay. Một nhà nghiên cứu bảo mật đã tiêu tốn 0.

Dịch vụ này có thể thực hiện 40.000 kiểm tra mỗi giây, tức là có thể nhận được một kết quả hợp lệ mỗi ba giây. Vì lý do này, GHD đã quyết định loại bỏ trang trạng thái RMA và yêu cầu khách hàng gửi email để cập nhật trạng thái. Lynch hỏi liệu công ty có chương trình thưởng cho lỗi (bug bounty) không, nhưng công ty cho biết họ không có chương trình như vậy.

Tuy nhiên, họ đã hoàn lại 20 đô la cho anh ấy từ khoản mua 330 đô la như một cách cảm ơn. Cần lưu ý rằng giải thưởng từ các chương trình thưởng phát hiện lỗi thường dao động từ hàng trăm đến hàng nghìn đô la, vì nó có thể giúp công ty tránh được các khoản phạt lên đến hàng triệu đô la. Theo dõi Toms Hardware trên Google News để nhận thông tin, phân tích và đánh giá mới nhất.

Hãy nhấn nút Theo dõi.

Nguồn: www.tomshardware.com/tech-industry/cyber-security/recertified-hdd-vendor-goharddrive-caught-leaking-thousands-of-customer-details-company-pays-astonishingly-low-usd20-bug-bounty-for-discovery-of-inexplicable-online-database-of-names-addresses-phone-numbers-and-more