Vulnerabilidad baja en el servicio de facturas de TigoUne Colombia

Hace unos días necesité pagar una factura de TigoUne de un familiar, esta persona me reenvió el correo donde estaban los datos para pagar la factura por internet.

solicitud de pago de factura enviada al correo

Cuando revisé el botón azul y cargué la dirección nos llevaba a una URL del tipo: https://transacciones.tigo.com.co/servicios/factura/[hash-base-64]

Y nos cargaba este contenido:

Sitio web para pagar factura

En el cual se podía ver información sensible como valor de la factura, estado, número de contrato, referencia de pago, documento de identidad, etc.

En la URl al hacer el decode en base64 podemos obtener una cadena del tipo: CC-XXXXXXXX (donde X corresponde a la Cédula del titular)

base64decode.org

Por dudas probé a tomar una cédula de otra persona, la codifiqué siguiendo el prefijo CC- y cargándola en el navegador y me aparecieron los datos de la persona:

Otra factura

Adicional a esto, en el código fuente, se encuentra comentada la dirección de residencia completa

Dirección de la persona en el código fuente (comentada)

Si bien es una vulnerabilidad baja por que requiere que se conozcan los números de cédula de personas afiliadas y adicional el sitio web no muestra información muy sensible, se podrían automatizar peticiones generando el hash en base 64 a partir de un diccionario de cédulas que por ejemplo empiecen en 1088XXXXXX u otras combinaciones.

Con lo cual se podría obtener el listado de clientes de TigoUne junto con su dirección de residencia, estratificar a la persona a partir del pago mensual por ejemplo, (y saber si son morosos 😅)

Recomendación para solucionar el inconveniente: 
En vez de “cifrar” con base64, utilizar otro tipo de cifrado que no permita conocer el SALT al momento de obtener el número de cédula.

No dejar dichos datos de forma pública, sino mediante algún mecanismo de autenticación ya sea el clásico usuario/contraseña o enviar al correo un link temporal para ver y pagar la factura.

En vez de ocultar en el código fuente la dirección de domicilio del cliente, simplemente no ocultar y no mostrarla, en últimas, la persona que va a pagar la factura, ya sabe dónde vive 🤷‍<SentidoComun />

Nota: la vulnerabilidad ya fue reportado a TigoUne.