Quote:Ceo storage jedne aplikacije Privredne Komore Srbije - dostupan bez autentifikacije. Propust je otkrio
@dusandz, dok je tražio na netu primerak uplatnice. Primetio je da je Google indeksirao jednu uplatnicu sa web aplikacije koji pripada PKS-u.
Ustanovljeno je da je na serveru omogućen directory listing (CWE-548). Međutim kada se izađe dva direktorijuma iznad, količina dostupnih falova i direktorijuma nas je naterala da se zamislimo. Ogromna količina veoma osetljih fajlova. (ulaz u neke direktorijume bi ubijao browser)
Ispostavilo se da je u pitanju kompletan file storage web aplikacije PKS-a na kome se nalaze veoma osetljivi podaci velikog broja građana Srbije, koji su aplikaciju koristili. Sve dostuno svima na izvolte, bez ikakve autentifikacije i autorizacije. Neoprostiva greška u razvoju.
U samo nekoliko klikova uspeli smo da nađemo par skenova ličnih karata i dve diplome fakulteta. Slučaj je odmah prijavljen
@PoverenikRS koji je reagovao munjevito a reagovali su i drugi državni organi (poznati autorima).
Tačan broj fajlova nismo utvrdili, zbog osetljivosti podataka, nismo želeli da izlazimo van okvira nečega što je etično. Bila je ideja da se što brže sve skloni. Bilo je tu pored ličnih karata i finansijskih izveštaja, ugovora i već tada nam je postalo jasno da ovo nije za šalu.
izvor https://twitter.com/Joshibeast/status/14...0611992577
detaljna analiza: PKS data breach 2021: kako je otkrivena rupa u Privrednoj komori