Cines Unidos es una cadena de cines de Venezuela fundada el 13 de Junio de 1947. Actualmente se encuentra en 11 ciudades y cuenta con 198 salas en 24 complejos. La empresa además de su principal negocio, distribuye películas a nivel nacional.(https://imgur.com/9hJBKHo.png)
Pese a no ser muy fanático de Marvel o de sus superhéroes, Spider-Man: No Way Home es una película que sin duda alguna está de moda, y genera interés hacia los cercanos a mí. Mi persona, un tanto curiosa, observó algo muy interesente que hoy día comparto. Un amigo, que no diré el nombre, entró en su cuenta de Cines Unidos a través de la misma página web como un día común y corriente, pero lo interesante de esto, es la URL...(https://imgur.com/pXpOILa.png)
El parámetro GET llamado hash, fue mi motivación inicial. Este parámetro, con su nombre tan evidente, me hizo saber que era un identificador. No cualquier identificador, ya que si observamos no nos dice nada a simple vista su valor. Pero si nos vamos a nuestro terminal:(https://imgur.com/wHWqQ4x.png)
¡Es el correo electrónico! Claro, que para los desarrolladores codificarlo a base64 fuera sido mejor...
Hasta aquí nada sorprendente de lo que ya hemos descubierto: un simple identificador y nada más. Ofuscado y nada más. Pero, no quise quedarme con esos simples datos, ya que mi intuición me decía que había algo más, algo no tan evidente.(https://imgur.com/zyGqG9E.png)
Cierro sesión. Reflexiono con los datos que adquirí, y comienzo a realizar varias hipótesis. La primera, y más evidente, y la que éxito tuve, fue decir a mis adentros: ¿si la dirección de correo electrónico es el identificador de la persona codificado a base64, alguien que no esté registrado podría igualmente ver los datos de esa persona? Sigamos para ver el desenlace.
Así que, como si fuera soldado y general a la vez, prosigo a darme ordenes y cumplirlas, las cuales son sencillas:
*.- Adquirir un correo electrónico de la víctima;
*.- Codificarlo a base64;
*.- Usar la misma URL, que por decirlo de otra manera es el exploit, y verificar mi teorema.(https://imgur.com/jwUCp40.png)
El resultado ahora sería:https://www.cinesunidos.com/Mi_Cuenta/UpdateUser?hash=a2xlcnh0dXpAc2hhcmtsYXNlcnMuY29tAl ingresar:(https://imgur.com/UCdgLhY.png)
Es sencillo observar que ya estoy en el formulario para actualizar la información del usuario. Y como un plus, se puede observar que no he iniciado sesión. El sistema cree que no he ingresado con mis credenciales, porque efectivamente no fue así. ¡El sistema no necesita que un usuario ingrese sus credenciales para poder ver su información!
Algo más peculiar, pero no dotado de seguridad, es el módulo Contraseña que le permite al usuario cambiar su contraseña según que le plazca. Yo, como atacante y también víctima en este escenario, deseo observar las credenciales del usuario para acceder a posteriori como un usuario legitimo. Presionamos CTRL-U para ver el código fuente, seguido de CTRL-F para buscar algún patrón, y luego buscamos lo siguiente id="Password".(https://imgur.com/8GhpNU1.png)
Vemos el atributo value que nos hace coto a nuestra búsqueda del tesoro. El atacante ahora conoce la dirección de correo electrónico y la contraseña. ¿Qué sigue? Acceder como un usuario legitimo...(https://imgur.com/yeuOo44.png)
¡Voilá! Ya hemos accedido como un usuario legitimo para el sistema.(https://imgur.com/QUIXAJH.png)
ConclusiónHemos observado en este modesto artículo que Cines Unidos es inseguro. Un atacante legitimo puede adquirir fácilmente una lista de direcciones de correo electrónico y luego ir probando uno a uno, quizá con un script, quizá manual. El atacante además puede obtener información que puede resultar sensible, como el nombre completo de la persona, la cédula de identidad, la dirección, y puede que lo peor de todo, la contraseña, que como sabemos, los usuarios comunes mayormente usan la misma contraseña para diferentes servicios.
Esperemos arreglen pronto esta vulnerabilidad, pero queda en el aire una interrogante más: ¿habrá una más o quizá peor que esta?.~ DtxdF
Ave María Purísima @DtxdF... le ha maleado el cine a medio país.
Esto es gravísimo dado lo popular del servicio. Y se puede crear hasta una base de datos.
Por qué lo puso en Noticias si esto es Hacking puro?
Muy bueno.
Que locura, logre recuperar la clave de una cuenta donde el correo estaba mal escrito, haciendo esto puedes entrar en la cuenta de cualquier persona vaya falla de seguridad para una empresa tan grande...
Gracias @AXCESS y @DanEnd por leer el artículo ^^
La vulnerabilidad es peor no solo por lo que se puede hacer, sino lo fácil que es. Es lo que me sorprendió siendo una empresa tan grande, y con tanto dinero y poder. Pero lo cierto es que muchas empresas aquí se le parecen en muchos aspectos, al menos en las tecnologías que utilizan, entonces el vector se puede ampliar a un patrón.
CitarPor qué lo puso en Noticias si esto es Hacking puro?
Fue mi primer razonamiento, pero creo que es un poco diferente a un
how-to, un tutorial, o un artículo que muestre o demuestre una herramienta nueva, un protocolo, un código, sino más bien informar al lector lo que está pasando con esta y quizá muchas otras empresas.
~ DtxdF