El blog de Iván.

Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Introducción:

Como la gran mayoría sabe, una de las cosas que ha cambiado mucho en Chile (generalmente en su capital, Santiago), es el “progreso” con respecto a las carreteras y autopistas en general, esto es algo que de desde las politicas externas del país se ve muy bien y coloca a Chile como un pais “moderno” en este tema específico, pero internamente se han provocado cientos de conflictos con respecto a algunos cobros desmedidos y aprovechamiento político en general, reclamos en si por el largo tiempo en que las personas comunes tenemos que pagar por este progreso, y la falta de opciones alternativas como casos extremos de esto (Por ej. Ruta 5 La serena – Santiago), pero en fin, digamos que esto es solo un tema común que sucede en todo el mundo y discutir y/o exponer esto, bajo mi criterio es una pérdida de tiempo.

La gran mayoría de estas empresas que tienen la concesión de autopistas disponen de un servicio de consulta online y una red privada virtual entre el usuario y la empresa en donde se manipulan datos personales privados de sus clientes, nos estamos refiriendo a datos que por ningún motivo ni escusa pueden ser expuestos a terceros, pero resulta que no es así, existe una empresa en particular que dispone de un sistema “vulnerable” que le permite a cualquier persona, acceder a esta información 100% confidencial y poder ocupar esta información, divulgarla e incluso “modificarla” desde el mismo sitio sin que existan trabas de seguridad mínimas en el proceso.

Contenido:

Intento mostrarles lo que yo considero un error (Bug) “grave” de una empresa concesionaria de autopistas específica que pone a disposición de terceros, por medio de un sistema de consulta de cuenta online, datos relevantes e importantes “personales” de sus clientes.

En detalle me refiero a la siguiente empresa.

Nombre de la empresa: Autopista Vespucio Norte.
Sitio Web: http://www.avn.cl/
Responsable: No se especifica.
Proteccion bot-net: NO!!!

-
¿Que necesitas para explotar esta vulnerabilidad?

El rut de un cliente.

¿Que nos permite obtener esta vulnerabilidad en si, solo conociendo el “rut”?

- Monto adeudado con la empresa.
- Nombre completo de la persona, (Nombres y apellidos materno y paterno).
- Patente y descripción de sus vehículos inscritos en la autopista.
- Acceso a Modificar “Toda” la información personal de los clientes.
- Entre otras detalladas a continuación.

El bug:

A continuación detallaré paso por paso de que se trata y como explotar esta vulnerabilidad:

Nota: La información expuesta a continuación es mostrada solo con el fin de “exponer” y dar a entender la facilidad que existe en obtener esta información.

Paso 1.- Primero debemos obtener el rut de un cliente, esto se obtiene rapidamente y sin ningún esfuerzo en google.cl, es este caso ocuparemos el rut:6769XXX-X y lo ingresamos en el formulario que muestro a continuación.

Con hacer solo esto ya tenemos los nombres del cliente asociados a un RUT.

También con esto, en la misma página obtenemos una patente asociada al cliente, probablemente este clente es el propietario del vehículo…

Paso 2.-La página inicial nos da la opcion de actualizar datos, al hacer click ahí nos aparece el siguiente formulario, en el cual ingresamos nuestro rut, y la patente del vehículo obtenida anteriormente, mas un correo electrónico cualquiera.

Paso 3.- Bién ahora nos vamos a ver que fue lo que nos envió la empresa a la direccion de correo electrónico que ingresamos, y para mi sorpresa me encontré con lo siguiente.

Paso 4.- Ocupamos esta contraseña para ingresar a la zona de “seguridad” del sitio, al hacer esto no encontramos con la siguiente “ironia”.

Luego esto…

Paso 5.- Ahora hacemos click en “Continuar” y estamos ya dentro del sistema de administración “Privado” sin ningún tipo de esfuerzo…

Paso 6.- Ahora hacemos click en “VER DETALLES” y listo, tendremos a mano la opción de cambiar información “privada” de un cleinte cualquiera.

¿Se han dado cuenta de cuantos datos personales del cliente ya tenemos?. Pues veamos…

- Nombres, apellido paterno y materno

- Direccion de facturación, osea donde vive el cliente.

- La patente del Vehículo

- Información sobre partes, valores a pagar, valores pagados con sus fechas correspondientes

- Numero de telefono particular

- Direccion de correo electrónico

- Fecha de nacimiento

- Deudas a la empresa

Y por último, el sitio nos dá la opcion de aceptar “acuerdos” entre el cliente y la empresa sin que el cliente lo sepa, veamos…

y leemos el último Item.

Obviamente no acepté este acuerdo, por que los “tramites” que tiene que hacer la empresa con este acuerdos pueden ser cargados a la boleta…. si!!!!

O sea….

¿Tambien podemos agregarle un cargo extra a la cuenta del cliente?

Bien, con esto quiero dar por terminado esto, no está demas destacar que no dí a conocer ningún dato de este cliente mas que sus nombres, aunque la empresa lo expone sin problemas, libremente y sin que el cliente lo sepa, de echo ni ellos lo saben.

Ante la importancia de esto, considerado que nos referimos a una gran empresa, podemos exponer las siguientes interrogantes.

¿Los clientes tienen la opción de reclamar por el echo de exponer sus datos tan facilmente?
¿Se puede considerar a esta concesionaria como “seria”?
¿Quien se va a hacer responsable de esto?
¿Como sabremos si esta información ya esta siendo manipulada por personas maldadosas?

“Luchando por sistemas que esten a la altura de un futuro.”
Atte. Iván Alexis.

Referencias a esta publicación: Zerial – cmdLabs

Si te gustó esta publicación, la puedes Compartir y Guardar en tu sitio favorito.

3 Comentarios en “Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.”