A empresa de segurança da informação Postuf descobriu uma vulnerabilidade no sistema de controle de barreiras da empresa AM Video. O erro, que já foi corrigido pelo desenvolvedor, pode levar ao vazamento de dados pessoais dos usuários e à interceptação do controle por hackers.
Fonte da imagem: Pete Linforth / pixabay.com
Como o cofundador do Postuf Bekkhan Gendargenoevsky esclareceu, a vulnerabilidade permitia que usuários registrados com a autoridade de uma conta demo acessassem e gerenciem quaisquer objetos no sistema – bastava simplesmente força bruta nos IDs de câmeras ou barreiras. De forma semelhante, o sistema abriu acesso aos dados de todos os usuários: nomes, endereços, números de telefone, marcas de automóveis. Potenciais invasores conseguiram bloquear as barreiras da casa e enviar notificações push aos usuários do sistema, além de usar seus dados pessoais em esquemas fraudulentos.
A empresa AM Video, que desenvolveu o sistema, já informou sobre a correção da vulnerabilidade encontrada. Cerca de um terço (mais de 1.500 peças) das barreiras instaladas em Moscou estão ameaçadas – cerca de 85% dos produtos da empresa estão na capital, outros 10% são usados na região de Moscou e apenas os 5% restantes estão nas regiões . Nikolay Agrinsky, Diretor Geral da Infosecurity a Softline Company, esclareceu que provavelmente se trata da vulnerabilidade IDOR (Insecure Direct Object Reference). Problemas semelhantes foram encontrados anteriormente nos recursos de empresas médicas e de logística russas, bem como em algumas lojas online – eles foram causados por falhas na lógica de negócios em termos de autorização.