Хакер #305. Многошаговые SQL-инъекции
Из-за проблемы, связанной с приложением израильской партией «Ликуд», в которой состоит израильский премьер-министр Биньямин Нетаньяху, могла произойти утечка данных 6,5 млн человек.
Проблему обнаружил разработчик из компании Verizon Media Ран Бар-Зик (Ran Bar-Zik). Пока неясно, успел ли кто-либо обнаружить брешь до Бар-Зика, и были ли на самом деле скомпрометированы данные пользователей. Как бы то ни было, местные СМИ, включая Haaretz, Calcalist и Ynet, уже подтвердили выводы исследователя.
Бар-Зик рассказал, что обнаружил утечку во время аудита приложения Elector, разработанного Elector Software для израильской политической партии «Ликуд», возглавляемой нынешним премьер-министром страны Биньямином Нетаньяху. Приложение было доступно на сайте elector.co.il.
Исследователь заинтересовался этой разработкой, так как в последнее время в местных СМИ часто поднимались вопросы, связанные с конфиденциальностью в Elector. К примеру, журналисты обнаружили, что приложение позволяет пользователям подписывать других людей на новости через SMS без согласия последних.
В своем блоге Бар-Зик пишет, что сайт приложения содержал больше информации, чем нужно. Так, в исходном коде обнаружилась ссылка на API эндпойнт, который должен был использоваться для аутентификации администраторов ресурса. Увы, разработчики сайта оставили эндпойнт открытым, без пароля, то есть воспользоваться их упущением мог любой желающий, без каких-либо ограничений (двухфакторной аутентификации предусмотрено так же не было).
Отправка запросов к этому API эндпойнту возвращала данные об администраторах сайта, включая их пароли открытым текстом.
Исследователь воспользовался этими учетными данными и получил доступ к бэкэнду сайта. Там Бар-Зик обнаружил базу данных, содержащую личные данные 6 453 254 израильских граждан, имеющих право голоса на предстоящих выборах.
Местная пресса утверждает, что эта БД – копия официальной израильской базы данных зарегистрированных избирателей, которую каждая политическая партия получает перед выборами, чтобы подготовить предстоящие кампании. Так, по данным издания Haaretz, в БД содержатся полные имена, номера телефонов, номера удостоверений личности, домашние адреса, пол, возраст и данные о политических предпочтениях граждан.
В настоящее время сайт приложения Electoral был удален и уже пропал даже из кеша поисковых систем, включая Google и Bing, чтобы предотвратить возможные злоупотребление обнаруженным багом.