Tiki.vn tồn tại lỗ hổng bảo mật, nguy cơ lộ thông tin người dùng – 08/2018

By
Quách Chí Cường
-

Tiki.vn tồn tại lỗ hổng bảo mật, nguy cơ lộ thông tin người dùng 2018 – Cuongquach.com | Một bài viết cảnh báo an toàn thông tin về lỗ hổng bảo mật trên trang thương mại điện tử TIKI từ  anh Trần Ngọc Quốc Phong vào giữa tháng 8/2018 , Cuongquach.com xin trích dẫn lại.

lỗ hổng bảo mật CORS trên Tiki.vn 2018

Có thể bạn quan tâm chủ đề khác
Họ đã hack Vietdesigner.net và Kenhsinhvien.vn như thế nào ?
Họ đã hack trang Sinhvienit.net như thế nào ?
Họ đã hack Chợ Tốt.vn như thế nào ?

“Thứ 4 (12/09/2018), trong lúc sử dụng trang thương mại điện tử Tiki.vn để mua hàng, tôi tình cờ phát hiện lỗ hổng Cross Domain Resource Sharing (gọi tắt là CORS – lỗ hổng tồn tại trong quá trình chia sẻ tài nguyên thông qua nhiều site khác nhau) đang tồn tại trong các API của Tiki.

Contents

Thông tin lỗ hổng bảo mật

Nguy cơ

Lỗ hổng này dẫn tới nguy cơ thông tin người dùng của Tiki có thể bị các trang khác lấy được trong quá trình người dùng lướt web. Những thông tin lấy được bao gồm tất cả thông tin mua hàng của người dùng trong đó bao gồm:

  • Tên người dùng
  • Số điện thoại: Có thể bị thu thập để tạo cơ sở dữ liệu tin rác.
  • Địa chỉ nhà: Các địa chỉ giao hàng của người dùng
  • Danh sách các món hàng đã mua: Bạn nào mua Durex chắc cũng không muốn người khác biết cho lắm
  • Access Token và Cookie: Có thể chiếm toàn bộ tài khoản Tiki.vn của bạn đang sử dụng. (phần account takeover này mình sẽ trình bày trong phần sau, sau khi tiki thực hiện fix lỗi)
  • … Và có những thông tin mình không biết Tiki thu thập để làm gì.
  • Tất cả những thông tin mà Tiki cho phép người dùng truy cập đều có thể bị một trang web khác thu thập được trong quá trình khai thác CORS.
    Kịch bản khai thác

Thông tin người dùng có thể bị khai thác khi sử dụng các dịch vụ khác, ví dụ người dùng đã mua hàng, đăng kí, đăng nhập tài khoản ở Tiki.vn nhưng không đăng xuất tài khoản, khi sử dụng một trang web xem phim, mua hàng khác, v.v. trang web đó sử dụng một popup, hoặc lưu thẳng script trong trang để có thể thu thập thông tin người dùng thông qua quá trình thực hiện JavaScript.

Ví dụ: Một trang web có thể lấy được thông tin người dùng từ tiki.vn (đây là trang PoC của mình, mình sẽ public khi Tiki đã vá lỗ hổng thành công):

Thông tin người dùng của Tiki.vn bị chuyển đến một trang khác
Thông tin người dùng của Tiki.vn bị chuyển đến một trang khác

Cách phòng chống

Khi sử dụng trình duyệt nên cài đặt các add on như Noscript để tránh thực hiện những đoạn Javascript không mong muốn. Tiki.vn phải implement lại CORS một cách chặt chẽ hơn.

Người dùng sau khi sử dụng Tiki.vn cần ĐĂNG XUẤT NGAY LẬP TỨC tài khoản của mình để tránh bị lợi dụng khai thác thông tin.

Quá trình thông báo lỗ hổng bảo mật

Cũng như mọi lần khác tôi thông báo lỗ hổng bảo mật cho các tổ chức, thường không nhận được thông tin phản hồi, Và lần này cũng không phải ngoại lệ.

  • Tối thứ 4 (12/09/2018) vào lúc 20 giờ: Tôi tìm ra lỗ hổng và thực hiện hiện thực PoC để gửi đến Tiki.vn.
  • Trưa thứ 5 (13/09/2018) vào lúc 13 giờ 06 phút: tôi gọi điện thoại cho số hotline của Tiki.vn (19006035) và thông báo lỗ hổng bảo mật. Gặp bạn chăm sóc khách hàng, yêu cầu tôi gửi mail qua hộp thư hotro@tiki.vn để được hỗ trợ (?!).
  • Trưa thứ 5 (13/09/2018) vào lúc 13 giờ 28 phút: Email đã được gửi đi (khác với lần trước, vì tồn tại một số lỗ hổng quan trọng hơn nên tôi không thể public được hết nội dung email)
Phần đầu của nội dung email tôi đã gửi tiki
Phần đầu của nội dung email tôi đã gửi tiki

Diễn giải nội dung và cách thức tấn công (phần 2 của email gửi tiki)

Email tôi đã gửi cho Tiki khá dài dòng (vì còn trình bày 2 lỗ hổng khác nữa) nhưng vì bảo vệ thông tin người dùng tôi không trực tiếp show lên đây được.

  • Chiều thứ 6 (15/08/2018) tôi đã trực tiếp liên hệ với bạn tôi làm bên Tiki, và một số người bạn của tôi cũng đã thông báo đến Tiki, nhưng đến giờ Tiki vẫn im hơi lặng tiếng (không một email nào phản hồi đã nhận được thông tin hay đã chuyển thông tin đến các bộ phận liên quan).

Tôi muốn nhắn gửi tới các bạn, những nguời đang đọc tới dòng này của bài đăng của tôi: Internet không phải là một môi trường an toàn, cho dù bạn có đang thực hiện đúng những phương thức bảo mật, hay không hề chia sẻ thông tin của các bạn tràn lan thì ngay giờ phút này, những thông tin của bạn có thể đang bị khai khác cho những mục đích xấu.

Vì vậy, hãy lên tiếng, chia sẻ những thông tin của mình biết đến những người khác, để tạo nên một văn hoá an toàn thông tin cho bạn, cho người người thân, và cho xã hội.

Nguồn: LINKhttps://cuongquach.com/

Previous articleMCSA 2012: Distributed File System (DFS)
Next articleMCSA 2012: Local Group Policy
Quách Chí Cường
https://cuongquach.com/
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !