Sus datos personales expuestos: TigoUNE*
*Falla reportada a TIGO-UNE
TL;DR Esta es la historia de cómo reportamos una vulnerabilidad que pudo permitir extraer los datos personales, y de los teléfonos, de los abonados de TigoUNE. El servicio fue deshabilitado por un tiempo y puesto de nuevo en línea con la misma vulnerabilidad. Al día de hoy lleva más de un año habilitado con la misma vulnerabilidad reportada.
En los últimos meses en Estados Unidos se presentó una gran polémica al descubrirse que usando un servicio público desprotegido de T-MOBILE era posible conocer datos personales de los abonados. Esta falla fue reportada por un investigador en seguridad quien fue recompensado. Sin embargo, parece que ya había sido explotada para extraer los datos personales de 2 millones de personas.
Este caso me hizo recordar una vulnerabilidad similar reportada a TigoUNE hace dos años y que revisando, de nuevo, sigue totalmente activa.
Hace unos dos años el gobierno nacional por intermedio del MINTIC impulsó la campaña NO MAS CELULARES ROBADOS. La promesa era que con la creación de un registro de IMEI los equipos no registrados o reportados podrían ser bloqueados.
TigoUNE habilitó varios mecanismos para registrar el IMEI entre esos una página web. Consideramos que este tipo de servicio requiere desarrollo de muy buena calidad por la cantidad y el tipo de información que almacenaría y decidimos darle una revisión.
La revisión nos confirmó que se trataba de un desarrollo con inconvenientes en los aspectos de la seguridad de la información. Era posible obtener sin mayores restricciones los datos de los abonados de TigoUNE (nombres, apellidos, direcciones, emails) y sus teléfonos (IMEI, marca, modelo).
Hacia el 10 de Junio de 2016 logramos contactar al CISO (Chief Information Security Officer) de TigoUNE e informarle por medio de una llamada sobre la vulnerabilidad y sus detalles. Pasados dos meses la vulnerabilidad seguía activa y lo contactamos, de nuevo, con el ánimo de realizar la teleconferencia que él había propuesto. Posteriormente en dos sesiones en hangouts con el CISO y uno de sus desarrolladores expusimos de nuevo la vulnerabilidad y ofrecimos nuestra ayuda. Pasaron casi 6 meses desde el reporte inicial hasta que deshabilitaron el servicio.
Hacia el 12 de Junio de 2017 volvieron a rehabilitar el servicio. En fecha cercana al 26 de Julio del mismo año introdujeron unos pequeños cambios sin corregir la falla y así persiste hasta el día de hoy, expuesta al abuso con la misma vulnerabilidad reportada.
¿ Cuáles son los datos personales e información expuesta ?
Para todos los usuarios sin distinción del tipo de plan es posible con el número celular (p.ej 300xxxxxxx ) acceder a:
- IMEI del equipo registrado con la línea.
- Marca del equipo (p.ej : Samsung)
- Modelo del equipo (p.ej: SGH-C120)
Para usuarios prepago (pospago requiere el número de documento) sin ninguna verificación también podemos obtener:
- Nombres
- Apellidos
- Dirección
- Departamento
- Ciudad
- Correo electrónico
- Teléfono
según estén disponibles.
Explotación
La vulnerabilidad presente se trata de una referencia directa a objeto insegura o IDOR (Insecure Direct Object Reference) . Esta vulnerabilidad consiste en el acceso directo a información partiendo de datos provistos por un usuario no autenticado y es parecida a la reportada por Santiago Bernal también a TIGO-UNE.
A manera de ejemplo imaginemos a un usuario y un servicio de almacenamiento de documentos en donde cada documento tiene un identificador numérico id. Por ejemplo, el usuario “pedro_perez” ha creado documentos con ids = [1,2,3,4,5] . Esperamos que el usuario solo pueda tener acceso a sus documentos
GET example.com/getDoc/1bla bla bla bla GET example.com/getDoc/2blo blo blo
Sin embargo, al solicitar un documento del servidor podríamos cambiar el id del documento y apuntarlo a otro id de documento (un documento de otro usuario) sin restricciones. Por ejemplo solicitar el número 10 y obtenerlo.
GET example.com/getDoc/10documento super secreto.
En esto consiste un IDOR.
Los detalles concretos para explotar la falla fueron reportados a TIGO-UNE hace un par de años.
