İngiliz seri ilan sitesi Gumtree.com, bir güvenlik araştırmacısının, klavyede F12 tuşuna basarak reklamcıların hassas kişisel olarak tanımlanabilir verilerine erişebileceğini açıklamasının ardından bir veri sızıntısı yaşadı.
Bir web tarayıcısında F12 tuşuna basıldığında, uygulama bir web sitesinin kaynak kodunu görüntülemenize, ağ isteklerini izlemenize ve web sitesi tarafından üretilen hata mesajlarını görüntülemenize olanak tanıyan geliştirici araçları konsolunu açar.
Kaynak kodunu görüntüleseniz bile, bir web sitesini kullanırken hassas verilerin genel olarak görüntülenemez hale getirilmesi birincil güvenlik önlemi olarak kabul edilir.
Ancak, Pen Test Partners güvenlik araştırmacısı Alan Monie, Gumtree’nin web sitesinde gösterilen reklamların HTML kaynak kodunu görüntüleyerek satıcıların kişisel bilgilerini görebileceğini keşfetti.
“Site süper sızdırıyordu. Sitedeki her reklam, satıcının posta kodunu veya GPS koordinatlarını içeriyordu – satıcı konumlarının haritasının gizlenmesini istese bile. Satıcıların e-posta adresini sızdırdı ve tam adlarına basit bir IDOR güvenlik açığı” açıkladı rapor Monie tarafından.
Gumtree, her ay milyonlarca benzersiz ziyaretçi alan Birleşik Krallık’taki en iyi 30 web sitesinden biridir. Bu nedenle, bu sızıntı sitedeki çok sayıda reklamvereni etkilemiş olabilir.
Monie, HTML kaynağının kayıtlı reklamcılar için aşağıdaki bilgileri sızdırdığını tespit etti:
- Ad Soyad
- Kullanıcı adı
- hesap kayıt tarihi
- hesap tipi
- e
- posta kodu veya GPS koordinatları
Sızan kullanıcılar, daha hassas bilgileri denemek ve toplamak için bu bilgileri kullanan kimlik avı veya sosyal mühendislik saldırıları tarafından hedef alınabileceğinden, bu tür verilerin açığa çıkmasının sonuçları önemlidir.
Site ayrıca iOS’ta Gumtree uygulaması tarafından özel olarak kullanılan bir API’ye sahiptir. Ne yazık ki, bu API’nin uç noktalarından biri bir IDOR (güvensiz doğrudan nesne referansları) saldırısına karşı savunmasızdı ve bu da tam adların ve diğer hesap bilgilerinin başka bir sızıntısına neden oldu.
11 Kasım 2021’de bu sorunu bulduktan sonra Monie, sorunu 16 Kasım 2021’de kısmen çözen sorun hakkında Gumtree’ye bilgi verdi. Araştırmacı tarafından takip eden çok sayıda mesajdan sonra, platform tüm sorunları 06 Aralık 2021’de ele aldı.
Bu nedenle, Gumtree’deki satıcılar, daha uzun olmasa da neredeyse bir ay boyunca PII’lerini ifşa etti.
Bleeping Computer Gumtree’ye ulaştı ve olayla ilgili olarak ne tür bir önlem alındığı hakkında bir yorum istedi ve bir sözcüden aşağıdaki yanıtı aldık.
“Kasım 2021’de bir kullanıcı tarafından web sitemizin kaynak kodunu etkileyen bir güvenlik sorunu hakkında bilgilendirildik. Bu, dikkatimize sunulduktan birkaç saat sonra çözüldü. Yukarıdakilerin farkına vardıktan sonra, iOS cihazları için API’mızla ilgili başka bir sorun olduğu konusunda bilgilendirildik. Bu da çözüldü.
“Bu sorunlara yanıt olarak, olayı izlemek için halihazırda aldığımız ve planladığımız eylemlerimizi özetleyen Bilgi Komiserliği Ofisine (ICO) bildirdik. Bunlar, güvenlik açıklarını düzeltmeyi, sitedeki güvenlik mesajlarımızı güncellemeyi ve gelecekteki sorunlara karşı hafifletmeyi içeriyordu.”
“Kullanıcılarımızı bilgilendirmedik ve bildirilen sorunlara zamanında, uygun ve orantılı yanıt verdiğimizden eminiz. Bu sorunlar ortaya çıktıkça ve düzeltici önlemler alırken düzenleyici ile proaktif bir şekilde iletişim kurduk. Gerektiğinde uygun ilave önlemleri alacağız.”
Araştırmacının bu temel veri sızıntısı kusurunu keşfeden tek kişi olması mümkün olsa da, Gumtree kullanıcılarına uyanık olmalarını ve gelen tüm iletişimlere dikkatli davranmalarını tavsiye ederiz.