Violação de dados da Staples foi causada por bug no sistema de rastreamento de pedidos
O motivo da recente notificação da Staples a alguns de seus clientes sobre detalhes de pedidos expostos foi causado por proteções insuficientes para recuperar informações do cliente de pedidos atuais e anteriores.
Staples disse que não encontraram evidências de compras não autorizadas em nome dos clientes afetados e que corrigiram o problema.
O alerta não possui detalhes técnicos que explicariam a natureza do problema, levando a algumas especulações de que foi causado por um incidente de hacker.
Essa teoria era plausível, especialmente porque a empresa de inteligência de ameaças Bad Packets revelou que a Staples manteve vários servidores Pulse Secure VPN sem patch para CVE-2019-11510 por muito tempo.
A BleepingComputer descobriu que a Staples tinha dois terminais que permitiam aos clientes rastrear suas compras usando o número do pedido e o código postal (ZIP) e um deles podia revelar informações sobre o pedido de outra pessoa.
Dois fatores contribuíram para isso, sendo um deles que os números do pedido eram sequenciais, portanto, adicionar ou subtrair um número deles daria um ID de pedido válido para uma compra de um cliente diferente.
Outro fator era que a solicitação de informações de rastreamento de um pacote não exigia um código postal, embora o campo estivesse presente.
A partir de um número de pedido válido, um hacker pode aprender a rota de um pacote (cidade, estado) e, eventualmente, o endereço de entrega. Isso reduz significativamente o esforço de descobrir o CEP do destino final.
Ao combinar um número de pedido com o código postal de entrega correto, um hacker poderia ligar para outro endpoint para obter os detalhes completos do pedido de um cliente.
Dados expostos
Permitir que os clientes rastreiem suas compras usando apenas esses dois detalhes é comum e suficientemente seguro, desde que os IDs do pedido não sejam sequenciais, porque a probabilidade de atingir uma combinação válida é muito baixa.
No caso de Grampos, um emparelhamento correto expôs os seguintes detalhes:
- nome completo
- os últimos quatro dígitos do cartão de crédito e seu tipo
- número de telefone
- endereço postal completo
- endereço de e-mail
- história de itens pedidos
- outras informações de identificação pessoal que podem ser usadas para obter mais dados
O mesmo endpoint também fornecia detalhes sobre os pedidos atuais, o que significa que alguém poderia causar alguns problemas cancelando-os ou iniciando uma devolução. Com o endereço de destino exposto, também existia o risco de roubo da mercadoria na entrega. Além disso, essas informações podem permitir ataques de phishing por e-mail e telefone.
Com base nas informações recebidas pelo BleepingComputer, nem todos os clientes que fizeram pedidos da Staples receberam recentemente o e-mail sobre a exposição de suas informações.
Staples confirmou ao BleepingComputer que o problema não existe mais. Soubemos que a empresa demorou cerca de duas semanas para resolver o problema a partir do momento em que foi alertada sobre o risco.
