Posté le avril 19, 2019 à 21:23
UNE GRANDE PLATEFORME DE VENTE EN LIGNE PRÉSENTANT UNE FAILLE DE SÉCURITÉ IMPORTANTE.
L’une des plus grandes plateformes de vente en ligne présente une faille de sécurité importante dans son API. La plateforme en question s’appelle Shopify et héberge plus de 800 000 marchands différents via son logiciel d’achat en ligne, qui auraient tous été exposés à une faille critique dans sa sécurité.
Un chasseur de bug de Bug Bounty a trouvé une faille critique
Ayoub Fathi était le chercheur en sécurité qui a exposé la faille qui était accessible via un point d’extremité API vulnérable. La faille aurait permis aux hackers malveillants de visualiser et d’exposer les données relatives au trafic et aux revenus des plus de 800 000 commerçants sur la plateforme Shopify.
Le chercheur en sécurité et chasseur de bug indépendant de Bug Bounty a trouvé le défaut au cours d’une routine après avoir remarqué que deux commerçants de Shopify qui exposaient les données. Il a refusé de donner les noms des commerçants qui l’ont aidé à identifier la faille. Ayoud a mis en place certaines alertes de domaine et d’URL pour lui indiquer chaque fois qu’un nouveau point d’extrémité de l’API apparaît sur ces domaines et URLs. Une fois qu’il a été avisé d’un point d’extrémité qu’il n’avait jamais vu provenant d’un commerçant anonyme, il a constaté que les données s’échappaient de ce point d’extrémité.
Une fois qu’il s’est mis à reproduire cette faille, il a été en mesure de trouver des données sur les revenus qui fuyaient d’un autre point d’extremité provenant d’un autre commerçant. Ce qui est intéressant à propos de ce magasin en ligne, c’est qu’il avait déjà été vendu et retiré du marché, mais qu’il y avait encore des fuites de données. Fathi affirme que le point d’extrémité de l’API responsable des fuites était le Shopify Exchange App. Le but du point d’extrémité de l’API était de prendre les données en interne et de les afficher dans un graphique au propriétaire du magasin.
Le défaut a été classé 7,5 sur l’échelle CVSS 3.0. Le Common Vulnerability Scoring System est utilisé pour classer tous les bugs et failles de sécurité trouvés via les programmes Bug Bounty. Il s’agit d’un score élevé qui résulte du fait que les données sur le trafic et les revenus des clients ont été exposés malgré l’absence de privilèges ou d’interaction avec l’utilisateur pour avoir accès à ces données.
Une fois que Fathi a identifié la faille, il l’a testée avec les magasins de la plate-forme. Il l’a fait en créant un script qui utilisait un fichier texte avec les noms de tous les magasins sur Shopify (assez facile à trouver) qui était utilisé par une requête curl pour recevoir toutes les données sur les revenus. Il a constaté que 12 100 magasins étaient vulnérables à cette faille de sécurité et il a été en mesure d’obtenir de plus de 8 000 d’entre eux des données sur les revenus et le trafic. Il a dit que tout commerçant qui avait installé l’application Exchange était vulnérable.
Shopify a corrigé l’erreur en trois jours suivant sa notification. La société a déclaré qu’elle croyait qu’une «expérience de confiance est cruciale pour chaque commerçant de notre plateforme» et a réitéré que ses stratégies de sécurité étaient en place pour soutenir cette confiance. Ils ont poursuivi en disant que le «programme Bug Bounty renforce ces efforts » en les aidant à maintenir leur plateforme aussi sécurisée que possible. Ils mentionnent que l’équipe de validation et d’ingénierie a résolu le problème en une heure.
La révélation a été bâclée par Fathi
La faille a été portée à la connaissance du public la première fois cette semaine. Cependant, elle a été communiquée en privé à Shopify le 13 octobre de l’année dernière. Cependant, l’équipe de Shopify n’a pas réalisé que le bug était admissible au programme Bug Bounty, car il avait été testé par rapport à des magasins opérationnels et non à des magasins qui avaient été créés juste dans le but de tester la sécurité.
Pour sa part, Fathi a dit qu’il avait tort et qu’il ne referait pas la même erreur. Il a assumé l’entière responsabilité de ses actes et de son manque de connaissance des procédures concernant le programme Bug Bounty de Shopify. Il a également présenté ses excuses à l’équipe de Shopify pour son erreur.