Tag Archives: vulnerabilidad

Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Introducción:

Como la gran mayoría sabe, una de las cosas que ha cambiado mucho en Chile (generalmente en su capital, Santiago), es el “progreso” con respecto a las carreteras y autopistas en general, esto es algo que de desde las politicas externas del país se ve muy bien y coloca a Chile como un pais “moderno” en este tema específico, pero internamente se han provocado cientos de conflictos con respecto a algunos cobros desmedidos y aprovechamiento político en general, reclamos en si por el largo tiempo en que las personas comunes tenemos que pagar por este progreso, y la falta de opciones alternativas como casos extremos de esto (Por ej. Ruta 5 La serena – Santiago), pero en fin, digamos que esto es solo un tema común que sucede en todo el mundo y discutir y/o exponer esto, bajo mi criterio es una pérdida de tiempo.

La gran mayoría de estas empresas que tienen la concesión de autopistas disponen de un servicio de consulta online y una red privada virtual entre el usuario y la empresa en donde se manipulan datos personales privados de sus clientes, nos estamos refiriendo a datos que por ningún motivo ni escusa pueden ser expuestos a terceros, pero resulta que no es así, existe una empresa en particular que dispone de un sistema “vulnerable” que le permite a cualquier persona, acceder a esta información 100% confidencial y poder ocupar esta información, divulgarla e incluso “modificarla” desde el mismo sitio sin que existan trabas de seguridad mínimas en el proceso.

Contenido:

Intento mostrarles lo que yo considero un error (Bug) “grave” de una empresa concesionaria de autopistas específica que pone a disposición de terceros, por medio de un sistema de consulta de cuenta online, datos relevantes e importantes “personales” de sus clientes.

En detalle me refiero a la siguiente empresa.

avn Nombre de la empresa: Autopista Vespucio Norte.
Sitio Web: http://www.avn.cl/
Responsable: No se especifica.
Proteccion bot-net: NO!!!

-
¿Que necesitas para explotar esta vulnerabilidad?

El rut de un cliente.

¿Que nos permite obtener esta vulnerabilidad en si, solo conociendo el “rut”?

- Monto adeudado con la empresa.
- Nombre completo de la persona, (Nombres y apellidos materno y paterno).
- Patente y descripción de sus vehículos inscritos en la autopista.
- Acceso a Modificar “Toda” la información personal de los clientes.
- Entre otras detalladas a continuación.

El bug:

A continuación detallaré paso por paso de que se trata y como explotar esta vulnerabilidad:

Nota: La información expuesta a continuación es mostrada solo con el fin de “exponer” y dar a entender la facilidad que existe en obtener esta información. Continue reading