Cover Image

Louis Vuitton corregge la perdita di dati e la vulnerabilità di acquisizione dell'account

27 Settembre 2020 - Tempo di lettura: 17 minuti

Louis Vuitton ha riparato silenziosamente una vulnerabilità di sicurezza sul suo sito Web che consentiva l'enumerazione degli account utente e persino il controllo dell'account tramite reimpostazione della password.

Fondata nel 1854, Louis Vuitton è un importante marchio di moda e merchandising francese di lusso con oltre 121.000 dipendenti e un fatturato annuo di 15 miliardi di dollari.

Il difetto facilmente sfruttabile risiedeva nella sezione account MyLV del sito web.

La creazione di un account MyLV consente a un acquirente Louis Vuitton di tenere traccia degli ordini online, accedere alla cronologia degli acquisti, ottenere ricevute elettroniche, gestire le informazioni personali e ricevere annunci aziendali.

Il ricercatore segnala la vulnerabilità, ottiene una risposta vaga

Dopo aver scoperto la vulnerabilità, il ricercatore di sicurezza Sabri Haddouche ha contattato Louis Vuitton come parte del processo di divulgazione responsabile. 

Ha poi twittato il 22 settembre sui suoi tentativi falliti di mettersi in contatto con la persona giusta quando ha ricevuto una vaga risposta dalla compagnia.

Haddouche ha continuato nello stesso thread, "Bene, ora hanno detto che hanno inoltrato il rapporto al dipartimento correlato, quindi aspetterò un'altra settimana finché non cercherò di trovare un nuovo modo per contattarli, forse puoi dire loro che c'è un problema di sicurezza urgente che deve essere risolto e il supporto ha ricevuto il rapporto. "

Enumerazione dell'account di posta elettronica

Haddouche ha ora condiviso con BleepingComputer ulteriori dettagli su questo urgente problema di sicurezza che doveva essere corretto.

Il ricercatore ha dichiarato: "La vulnerabilità è sorprendentemente facile da sfruttare e l'avevo trovata per caso facendo clic su uno dei collegamenti nell'e-mail di Louis Vuitton. Ecco come funziona:"

  1. Accedi al seguente URL: https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXX .
  2. L'ID (parametro "A") può essere modificato in qualsiasi cosa poiché le cifre sono incrementali , è facile scoprire praticamente chiunque.
  3. Verrà visualizzata l'e-mail di un cliente. Inoltre, se non ha un account, ti chiederà di impostare anche una password e ti accederà.

L'e-mail a cui si riferisce Haddouche era un'e-mail di notifica sulla sua riparazione da parte di Louis Vuitton, che lo ha spinto ad accedere a un account.

Il "Consultore mon compte" (Visualizza il mio account) pulsante porta alla  mylv  legame con ID account di Haddouche, come mostrato nei passaggi precedenti.

Haddouche ha notato che la sostituzione del suo numero ID account nel parametro "A" con un numero progressivo ora mostrava l'indirizzo email di un altro utente nel campo email.

Un utente malintenzionato può potenzialmente ottenere indirizzi e-mail di più membri di Louis Vuitton a loro insaputa o senza il loro consenso semplicemente enumerando l'ID dell'account nell'URL.

Acquisizione del conto tramite enumerazione

Un altro aspetto preoccupante del  sito Web del mio account LV è il modo in cui ha consentito a chiunque di rilevare l'account di un membro di Louis Vuitton.

Considera che un utente aveva precedentemente effettuato acquisti sul sito Web utilizzando il proprio indirizzo e-mail, ma non si era registrato per un account.

Basandosi sul flusso di lavoro di cui sopra, se un hacker si fosse imbattuto in un tale indirizzo e-mail mentre cercava di indovinare gli ID degli account uno per uno, il sito Web non solo esporrebbe l'indirizzo e-mail dell'account ma chiederà all'hacker di impostare una password.

Ciò potrebbe consentire all'autore dell'attacco di creare un account per conto dell'utente legittimo e di impostare una password.

Ricorda che un account MyLV garantisce l'accesso a informazioni personali, ordini online, accesso alla cronologia degli acquisti, ricevute elettroniche e altri bit sensibili.

Pertanto, l'acquisizione di un account tramite questo difetto potrebbe aver potenzialmente esposto la cronologia degli acquisti di un utente e i dati che dovrebbero rimanere riservati.

Louis Vuitton corregge il difetto, grazie ricercatore

Oggi, Louis Vuitton ha corretto il difetto e, come osservato da BleepingComputer, il sito Web non perde più indirizzi e-mail arbitrari o consente il furto di account durante la navigazione all'URL di creazione dell'account in questione.

L'azienda ha ringraziato il ricercatore per aver segnalato il difetto in un'e-mail. Una traduzione approssimativa dell'email mostrata di seguito sarebbe:

Gentile Sig. Haddouche,

come accennato prima, sono felice di tornare da lei con ulteriori informazioni. 
Sono lieto di annunciare che la suddetta vulnerabilità è stata immediatamente risolta dal dipartimento interessato. 

Ti ringrazio ancora per il tuo feedback su questo argomento e ancora una volta porgo le mie più sincere scuse per l'incomprensione della richiesta iniziale. 

Rimango a tua disposizione per qualsiasi altro reso o richiesta da parte tua. 

Ti auguro un'ottima serata, 

Cordiali saluti, 
Pauline

Sebbene Louis Vuitton abbia una pagina dei bug di HackerOne, non sembra essere utilizzata attivamente.

Alla domanda, come potrebbero le aziende rendere più facile per i ricercatori segnalare le vulnerabilità, Haddouche ha detto: 

"Direi che hai sempre un'e-mail dedicata con chiavi PGP o un modo sicuro simile per segnalare problemi relativi alla sicurezza (la piattaforma di bug bounty di YesWeHack ha la crittografia PGP in background per ogni segnalazione) o come un account Wire o Signal dedicato per la segnalazione della sicurezza vulnerabilità e pubblicarle sul tuo sito web o in un file security.txt perché abbiamo praticamente perso 2 settimane e la vulnerabilità era già stata rivelata nei miei DM di Twitter e poi in chiaro per email durante quel periodo."

"Chiunque avesse accesso alla propria casella di posta, Twitter o al mio account avrebbe potuto vedere i dettagli della vulnerabilità e utilizzarla", ha concluso.

intopic.it