Глава финансовой практики DataArt UK обнаружил брешь в безопасности визовой системы

Уязвимость обнаружил Алексей Уткин при подаче документов на визы в Италию для своей семьи через VFS Global — систему, которая обслуживает очень много консульств по всему миру.

«Выяснилось, что онлайн-система визовых приложений обновилась, и заполненные анкеты, которые еще «в процессе», при этом не мигрировали. Т. ч мне представилась волшебная возможность заполнить анкеты заново.

Борясь с глюками, заполняю анкету жены, генерируется косой-кривой PDF, на почту приходит номер ее анкеты для возможности дальнейшего доступа. Заполняю анкету сына — в конце процесса генерация его PDF валится, и письмо с номером анкеты не приходит», - эмоционально описывает процесс г-н Уткин.

Далее, через опцию “retrieve unsubmitted visa application” после ввода ID-номер (который приходит на почту, вида SCHEIT1000001) он начал видеть чужие анкеты.

«И не только неотправленные, но вообще все — с начала системы. Со всеми личными данными. Разумеется, написал им гневное письмо с предложением выпить йаду, всех уволить и посадить, нанять нормального подрядчика типа DataArt.

Теперь, чтобы получить доступ к анкете, надо ввести свой адрес электронной почты. Но главная проблема, что я всё сломал, совершенно не пытаясь ничего сломать: ребята просто зарелизили систему без какой-либо проверки безопасности. Хотя кто-кто, а уж они-то должны печься о безопасности данных больше всего, на всех уровнях — от проектирования и тестирования до независимого секьюрити и аудита защиты данных!», - продолжает он.

История заинтересовала крупные британские издания: интервью у коллег взяли The Guardian, The Times, The Sunday Times, The Independent, Daily Mail, Mail on Sunday, Financial Times.

По словам Романа Денисенко, Security Specialist DataArt, налицо — классическая ситуация горизонтальной эскалации привилегий, когда данные одного пользователя становятся видны другому посредством манипуляций входными параметрами.

«Обычно на сервере проходит авторизация пользователя на доступ только к его информации, чтобы он, не дай бог, не получил что-то не свое. В визовой системе, видимо, решили, что пользователи не настолько продвинуты и проверку не реализовали вовсе, считая, что пользователь не будет вмешиваться в поведение клиентской части программы (менять ID документа вручную).

Для любых проектов жизненно важно реализовать авторизацию на получение любой значимой информации, чтобы исключить ситуацию, когда пользователь получает доступ к тому, на что у него нет прав», - заключает он.