目录导航
背景
- Gumtree 是一个位于英国的网站,用户可以在该网站上为待售商品做广告。
- 它在广告的 HTML 源代码中将卖家的 PII 泄露给该网站的其他用户。电子邮件地址、邮政编码、GPS 位置和卖家的姓氏(通过 IDOR)都被泄露了。
- 他们将漏洞披露的责任推给了一个似乎不知道如何处理负责任披露的漏洞赏金计划。
介绍
Gumtree 声称认真对待用户安全和隐私。他们隐藏您的姓氏并使用内部消息传递系统来允许买家/卖家沟通,而不会泄露用户的电子邮件地址。这是一个巨大的网站,直到最近才归 eBay 所有,因此它们必须非常安全…… 真的吗?
泄漏数据位置:F12
该网站是超级泄漏。网站上的每个广告都包含卖家的邮政编码或 GPS 坐标——即使卖家要求隐藏其位置地图。它泄露了卖家的电子邮件地址,他们的全名可以通过一个简单的 IDOR 漏洞获得。
我的一个邻居最近试图在 Gumtree 上出售一台电视机,只为一个随机的人出售,他之前没有联系过,他不在家时出现在他家。邻居打电话给我,说他最小的女儿在家里,很害怕,因为那家伙不肯离开。不想在互联网上发布您的位置有充分的理由。
在下面的例子中,卖家非常明智地禁用了他们的位置地图,但源 HTML 泄露了他们的邮政编码。这是比一般地图显示的更准确的位置数据。这允许攻击者识别街道甚至部分街道。
泄露的姓名信息
该站点还有一个似乎专门用于 iOS 的 API。其中一个端点容易受到 IDOR 攻击。这泄露了用户的全名以及其他一些次要信息,并且不需要任何身份验证。
Gumtree 显然知道在网站上发布用户的全名是一个坏主意,因为他们只在广告中显示名字。遗憾的是,他们的 API 会将这些信息泄露给任何看过的人。
泄露的电子邮件地址
10 月,密苏里州州长威胁要起诉一名在中小学教育部网站的 HTML 源代码中发现一些社会安全号码的当地记者。在尝试向供应商披露信息时,这种类型的响应并不少见。他们并不经常感激,通常他们想保持沉默,不回应,或者他们不理解并想起诉你。
受州长 Parson 的启发,我开发了一个多阶段流程来查看属于其他 Gumtree 用户的敏感信息:
- 在gumtree.com 上查看广告
- 按 F12查看源码
- 读
- 这个
- 卖家
- 电子邮件
- 地址
- 在
- 这
- HTML中
有时,大型网站甚至没有掌握正确的基础知识。
令人惊讶的是,其他用户的电子邮件地址在 HTML 源代码中被泄露。我知道 Gumtree 以前曾使用过掩码电子邮件地址的概念,并且电子邮件字段可能已用于此。然而,在他们的广告中泄露每个卖家的电子邮件地址是一个严重的疏忽。
Gumtree 并没有保护其卖家的位置或他们的 PII 数据,而是在每个广告中泄露这些数据。在我看来,将此类数据发送给第三方是英国 GDPR 法律下的明显数据泄露。任何用户都可能无意中访问任何卖家的 PII。
披露
Gumtree 在他们的网站上有一个 security.txt 页面。它只是将我们指向管理漏洞赏金的 Zerocopter。我更喜欢直接与公司打交道,所以我并不热衷于通过第三方漏洞赏金计划进行报告,但我别无选择。
不幸的是,Zerocopter 在他们接受我们的漏洞报告之前要求我们同意保密流程。我们相信完全披露,所以这不是我们准备签署的。在仔细阅读了大量的法律术语后,似乎有一项条款供安全研究人员在问题解决后公开披露,但强制研究人员同意多页法律文本会导致耗时且可能会产生昂贵的法律费用。只需让网站所有者知道安全问题即可。
不应该强迫人们试图做正确的事情,而不是被迫达成法律协议。如果您想尽快了解平台上的所有安全问题,掩盖漏洞披露流程并不是解决方案。
| 日期 | 行动 |
| 11/11/2021 | 通过电子邮件发送[email protected]和[email protected]关于他们的 PII 泄漏 |
| 12/11/2021 | 电子邮件[email protected] |
| 12/11/2021 | 收到来自客户支持的电子邮件,确认问题并通知我他们已将其发送给相关部门 |
| 16/11/2021 | 收到来自客户支持的电子邮件,称电子邮件地址泄漏已得到修复,并且他们已自行向 ICO 报告 |
| 17/11/2021 | 发电子邮件[email protected]再次让他们知道仍有其他信息泄露 |
| 19/11/2021 | 通过 zerocopter 提交报告 |
| 2021 年 1 月 12 日 | Gumtree 修复了 IDOR |
| 06/12/2021 | Gumtree 修复了邮政编码泄漏 |
我最初是在 11月11日向security@和hello@发送电子邮件,因为它泄露了 PII,我试图联系他们的数据保护官。我联系了他们两次,解释说他们的网站泄露了 PII(11 月12日和 17日),但我从未收到回复。他们的客户服务团队确实回复了并说报告已转发给内部部门,但我再也没收到他们的安全团队或 DPO 的回复。
11 月16日,客户服务团队回复让我知道他们已修复电子邮件地址泄露问题,并自行向信息专员办公室报告。干得好 Gumtree,这是一个快速解决方案,很高兴你通知了 ICO。然而,没有提到位置数据泄露或 IDOR,所以在11 月19日,我试图通过 Zerocopter 进行报告。
使用第三方也使披露过程非常临床,Gumtree 没有直接感谢或反馈,但是 IDOR 漏洞有 500-3000 欧元的货币奖励,因为他们将其标记为高风险。
然而,在问题解决后,我被告知无需支付奖励,因为——“这是一份负责任的披露报告,意味着获得奖励本身就是一种奖励”。
所以,因为我遵守了他们负责任披露的规则,所以没有支付任何奖励!
在我询问我在负责任的披露方面违反了哪些规则后,他们改变了主意并支付了最低限度的费用。我敢肯定 Gumtree 会惊恐地发现他们负责任的披露过程束缚了研究人员的手,造成了忘恩负义的感觉,并试图避免支付赏金。
外包漏洞披露流程可以免除您对软件漏洞的责任,并在您的安全团队和信息安全社区之间造成文化上的脱节。
结论
网站所有者需要确保他们安全地处理用户数据,应用级 DLP 系统可用于监控诸如电子邮件地址从不应包含电子邮件地址的网页泄露之类的事情。
直接与安全研究人员接触。您将更快地意识到您网站上的问题,您将建立关系,我们随时准备重新测试并就漏洞的最佳修复提出建议。
转载请注明出处及链接