Vulnerabilidad bypass de autentificación Chilexpress

Esta debe ser una de las vulnerabilidades más increíbles que he encontrado hasta ahora. Principalmente porque Chilexpress es una empresa grande y que (supuestamente) ha pasado por varios ciclos de pentesting y certificaciones de seguridad.

Cómo encontré la vulnerabilidad

Muchas vulnerabilidades web en Chile las encuentro haciendo uso común de algunas plataformas. En este caso, abrí una cuenta empresa en Chilexpress (para enviar más barato y con algunas otras ventajas) y la primera vez que la usé noté algo extraño: Cuando ingresé el RUT de mi empresa me pidió crear un usuario de nombre Usuario01 y no le pude cambiar el nombre. Al intentar ingresar de nuevo, ingresé el RUT y me mostró automáticamente el Usuario01. Nunca había visto una página con ese comportamiento.

Pasaron algunas semanas y un día se me ocurrió mirar un poco más este login tan extraño. Abrí BURP y me puse a revisar los requests y responses de la aplicación. Para mi sorpresa al hacer click en la opción "Recuperar contraseña" la respuesta del POST request retornaba todos los datos del usuario: Nombre de usuario, contraseña, pregunta secreta, respuesta a la pregunta secreta.

Con las credenciales obtenidas ingresé a la página para probar impacto, importante para que el cliente/empresa, te tome en cuenta, hice pruebas con el RUT de Falabella e intenté realizar una compra por más de 17 millones de pesos en cajas de cartón, obviamente no llegué al paso final. Este tipo de cuentas empresa funciona como una cuenta de post pago. Puedes comprar sin necesitar pagar directamente, luego se le facturará al cliente.

Es mucho más fácil de entender viendo un vídeo.

Un video dice más que mil entradas de Medium.

El problema fue reportado y al día siguiente recibí una llamada de encargados de la empresa. Y luego comenzó el ya clásico ritual de agradecimiento, solicitar presupuesto para prestar servicios a la empresa pero luego nunca se concreta nada. Mucho mejor sería que pagaran un valor en Bitcoin o pesos chilenos que premiara el esfuerzo pero también el riesgo que se mitigó para la operación de la empresa. Lamentablemente cuando les comenté sobre Bug Bounty Hunting, no tenían idea sobre el tema.

En resumen:

Recompensa: $0 + GRACIAS.

Promesa de contratación: TRUE

Contratos efectuados: 0

Aprendizaje: Siempre probar todo, hasta las cosas más obvias. Nunca pensar que porque una empresa es grande, madura o antigua no podría tener vulnerabilidades graves y fáciles de encontrar.

Si te gustó la entrada, deja un aplauso!

--

--

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store