Jak zdobyłem 500tys. PDFów z danymi osobowymi klientów sexshopu, jubilera i 11 innych sklepów?

Jeśli wrzuciłeś coś do internetu, to uznaj to za dostępne publicznie dla każdego. Na zawsze.

O tym powinniśmy myśleć za każdym razem gdy dodajemy gdzieś zdjęcie, wysyłamy wiadomość, potwierdzamy swoją tożsamość w internecie lub robimy coś o czym np. nasz sąsiad nie powinien wiedzieć. Dane przesyłane są w internecie po całym świecie. Mogą zostać przechwycone, podsłuchane, zablokowane lub nadpisane. Rozmowa jest “prywatna” ponieważ jest prowadzona pomiędzy dwoma osobami, zdjęcia z piątkowej imprezy wrzucasz na “prywatną” chmurę, posiadasz “prywatne” konto w banku i robisz zakupy na “prywatnym” koncie w sklepie internetowym. Co może pójść nie tak?

Chciałem tylko obejrzeć światełka...

Moja historia zaczęła się gdy z nudów, pewnego listopadowego wieczora przeglądałem serwis tworczywo.pl. Zastanawiałem się po ile takie lampki chodzą i co ciekawego jest w ofercie. Nie miałem oczywiście w planie czegokolwiek kupować, po prostu naszło mnie sprawdzenie ile z takiego interesu ktoś może wyciskać.
Lampki co prawda wyglądały ciekawie ale jako programistę bardziej zaciekawił mnie adres strony ponieważ zawierał w subdomenie słowo “test” (test.tworczywo.pl). Z natury jestem ciekawski, więc postanowiłem trochę podłubać wyszukując adres tej domeny w Google. Może zdarzyła się sytuacja, że Google zcacheował kiedyś jakieś interesujące rzeczy, które mógłbym znaleźć? W końcu środowisko testowe lubi od czasu do czasu paść i sypnąć jakimś ciekawym logiem, z którego można się sporo dowiedzieć.
Niestety “nie pamiętam” jakiej frazy użyłem w Google do wyszukania tego co znalazłem. Było to natomiast coś co zadowoliło moją ciekawość. Co to takiego było? - zapytacie.
Okazało się, że Google zaindexował adres pliku PDF z podsumowaniem zamówienia z danymi osobowymi osoby zamawiającej, to znaczy: imieniem, nazwiskiem, adresem, numerem telefonu, emailem oraz listą zamówionych przedmiotów i ich ceną. Jeden wynik? A co jeśli... 

Jeden z przykładowych PDFów, do których miałem dostęp.

Na tropie

Zaciekawiło mnie to w jaki sposób w ogóle Google zaindexował ten wynik. W końcu takie dane nie powinny nigdy zostać zaindexowane, szczególnie że adres url zawierał identyfikator zamówienia oraz hash, więc powinien to być unikalny link dla osoby która dokonała zamówienia.

tworczywo.pl/orderPdf/show/id/[ID]/hash_code/0a5769c8d[HASH]16cf6698830188c

Przyszło mi na myśl sprawdzenie czy możliwy jest dostęp do katalogu w którym mogłyby znajdować się inne PDFy. W praktyce PDFy po prostu mogą leżeć w jednym folderze na serwerach danego serwisu. Skoro dostęp do PDFa nie wymaga zalogowania się i potwierdzenia tożsamości to może i cały katalog również? Postanowiłem kawałek po kawałku usuwać części adresu URL licząc na to, że mi się poszczęści i na coś trafię. Długo nie musiałem szukać. Usnąłem hash, kliknąłem enter i otrzymałem ten sam PDF. Ale jak to? Przecież usunąłem hash?! Serwer nie powinien zezwolić na dostęp do pliku ponieważ jego najbardziej unikalna część, która mogłaby potwierdzać to że ogląda je właściciel, właśnie zniknęła. No i tu zaczyna się robić ciekawie. Otrzymałem taki oto adres URL:

tworczywo.pl/orderPdf/show/id/[ID]/hash_code/

Skoro nie potrzebuję potwierdzać tego, że posiadam unikalny link (który klient powinien otrzymać po dokonaniu zamówienia) to, co się stanie jeśli zmienię w adresie coś jeszcze? Identyfikator zamówienia nie wyglądał dość unikalnie. Tak więc spróbujmy! Załóżmy w tym momencie, że ID to numer zamówienia np. 56543. Częstą praktyką jest używanie inkrementowanych identyfikatorów z bazy danych. Co się stanie jeśli zwiększę wartość liczby o +1 na 56544?. BANG! Kolejny PDF z podsumowaniem zamówienia innej osoby! I można tak aż do najnowszego/najstarszego zamówienia! Których niestety było kilka/kilkanaście tysięcy.

 

"Czy to błąd? Czy to błąd?"

Nie dostałem się do katalogu z podsumowaniami zamówień, pomyślałem, że może to być błąd biblioteki, która została użyta do wygenerowania PDFa. Zacząłem Googlować frazę z podanego powyżej adresu url. Dodałem kilka parametrów do wyszukiwania i to, co zobaczyłem wprawiło mnie w osłupienie. 

Końca nie widać

Znalazłem w Google kilka wyników - błąd w znalezionych serwisach był dostępny. Sprawdziłem jeszcze DuckDuckGo i Binga - z tych dwóch tylko DuckDuckGo zwracał jeszcze jakieś dodatkowe wyniki których nie pokazywał Google. W sumie znalazłem 13 podatnych na błąd serwisów:

• tworczywo.pl
• megakuchnia.pl
• mozaikiswiata.pl
• planettoys.pl
• sex-shop69.pl / sex-shop69.cz / sex-shop69.sk
• jubiler.pl
• sklep.szymkowiak-karcher.pl
• miesodlapsow.pl
• uchwyty-inside.pl
• aseopaper.pl
• sklep.topmeble.eu
• world-style.pl
• rybarium.pl

Zacząłem wertować po identyfikatorach żeby sprawdzić ile wyników maksymalnie zwraca każdy z serwisów. Łączny wynik? Około 500 000 plików PDF możliwych do pobrania bez jakiejkolwiek walidacji/weryfikacji! Każdy zawierał dane o których wspominałem wcześniej: imię, nazwisko, adres, numer telefonu, lista zakupów, kwota jaką klient zapłacił za zakupy. W jednym ze sklepów w podsumowaniu znajdował się nawet PESEL - “tylko” kilka tysięcy wyników. Pozostawiam waszej wyobraźni to, co moglibyście zrobić z tak pokaźną ilością takich danych.
Szukając kontaktu do właścicieli serwisów w celu zgłoszenia błędu zauważyłem w stopkach stron, że korzystają z aplikacji e-commerce (sklep internetowy) tego samego producenta - sote.pl -  im również zgłosiłem ten błąd.
W odpowiedzi od producenta oprogramowania otrzymałem informację, że błąd dotyczył jednej z wersji ich oprogramowania, a klienci po prostu nie zaktualizowali aplikacji. Poprosiłem również o zajęcie się problemem z zaindexowanymi przez wyszukiwarki linkami do podsumowań zakupów.

A jednak były indexowane :)

Jakie jest zakończenie tej historii?

Każdy z właścicieli serwisu również został o wszystkim poinformowany kilka miesięcy temu, a błędy zostały naprawione (w większości).

Od właścicieli systemu sklepowego (sote.pl) otrzymałem podziękowania za zgłoszenie błędu.

Od sklepu jubiler.pl miałem możliwość otrzymać coś ze sklepu lub bon na zakupy - poprosiłem o przekazanie kwoty którą mieliby mi do zaoferowania na Akademię Przyszłości - https://akademiaprzyszlosci.org.pl Otrzymałem odpowiedź, że nawet większa kwota została przelana - nie chciałem już drążyć tematu i domagać się screenshotów lub potwierdzeń przelewów, ufam Wam na słowo :)

Od sklepu rybarium.pl miałem możliwość otrzymać bon na zakupy w kwocie 50zł. Również poprosiłem o przekazanie tej kwoty na w/w Akademię Przyszłości. Niestety do dziś nie otrzymałem żadnej odpowiedzi od właściciela sklepu :(

Memy pochodzą z serwisu imgflip.com