Brute Force su Sky.itSappiamo tutti chi è SKY, nota compagnia televisiva satellitare. Sicuramente molti di voi hanno l’abbonamento, forse avete fatto anche l’account sul sito sky.it per gestirlo online. Proprio qualche mese fa’ mi sono ritrovato sul sito per gestire il mio abbonamento e mi sono accorto che gestivano le verifiche degli account sui form in tempo reale.

Mi sono spinto oltre e ho verificato da dove venisse la risposta e ho scoperto che…

Ho scoperto una vulnerabilità sul sito che permette ad un utente malevolo di effettuare un attacco di forza bruta e ricavare le credenziali di accesso degli utenti registrati.

Pensate a quante informazioni sensibili si lasciano su un sito come Sky.it, tra cui il vostro indirizzo, numero di telefono, carte di credito etc. Per non parlare poi della possibilità di modificare l’account a vostro piacimento o magari perchè no, vedersi le partite gratis da SKYGO ;-) mentre voi pagate.

Il 24 Novembre 2012 sono riuscito a trovare chi si occupava della sicurezza del sito (IT security di Sky) per comunicargli la vulnerabilità. Mi è stato risposto che avrebbero risolto quanto prima.

Oggi 24 Gennaio 2013, per la gioia di chi vuole fregarmi il mio account è tutto immutato.

—STORY–
24/11/2012 – Avvisato settore security di Sky.
24/01/2013 – Pubblicazione del POC.
30/03/2013 – Vulnerabilità ancora presente.
19/07/2013 – E’ stato aggiornato il sito. Hanno cambiato il sistema di login e il bug non è più presente. 

FULL DISCLOSURE

POC

1. URL di verifica delle credenziali di account – https://www.sky.it/ReSky/loginJSONP?username=USERNAME&password=PASSWORD&rememberFlag=0

2. Vi risponderà con 2 numeri interi { 0 } se l’account è valido e { 4 } se l’account non è valido.

Non esistono controlli sul numero di tentativi di accesso.

UPDATE 30/03/2013: scoperto nuovo intero di risposta. { 7 } indica che l’account trovato deve fare un reset password a causa della debolezza delle credenziali.

 

Cheers!

Non mi assumo la resposabilità dell’utilizzo che farete di queste informazioni. Non utilizzate il seguente metodo per fini illeciti.