LAN.COM | DataLeak & OpenUrlRedirection

Revisando en mi bandeja de correo, LAN.COM genera correo con ofertas-Estados de Cuenta y otras promociones al correo que tenemos registrado con nuestra cuenta. El contenido de estos correos están en un subdominio de lan.com llamado: news.lan.com




Al observar mi propio correo enviado por LAN puedo identificar lo siguiente:

1) Cuando me ofrece acceder a distintos lugares donde debo ser redirigido la URL va de la siguiente forma [imagen 1] y el sitio donde quiero ser enviado pasa como parámetro después de ‘&’.



2) Como se trata de un correo de publicidad o de estados de cuenta por parte de LAN, nos ofrece realizar un “unsuscribe”(cancelar la suscripción) para dejar de recibir los correos por parte de ellos donde la URL muestra nuestro correo y nos lleva a la confirmación para la cancelación.




Dejando en claro esto es que comienzan los experimentos:

1) ¿Podremos cancelar la suscripción de otras personas arbitrariamente?

Lamentablemente, para cancelar la suscripción en la URL cada correo tiene su propio parámetro “CHECK” , unas cuantas combinaciones de letras y números generados para cada correo con el cual evitan que podamos utilizarlo para cancelar la suscripción de otros, ya que tendríamos que conocer su CHECK individual.

2) ¿El Open Url Redirection es tan “Open” como pensamos? – Una buena respuesta es NO y SI: NO: porque despues de http://news.lan.com/?XXXXXXXXXXXX viene un codigo generado por LAN que le da validez a la redirección pero sin limitar el destino de esta redirección: en otras palabras podemos ocupar ese codigo valido para redirgir donde nosotros queramos, las veces que queramos.

¿y que hacemos? – Si para cancelar la suscripción existe un check propio y relacionado con un correo único y por otro lado necesitamos el otro código valido para generar la redirección.

Pues GOOGLE no?

Dork? pueden imaginarlo: site:http://news.lan.com

182 resultados.


Cada resultado o al menos la mayoría contiene los mismos datos que los correos que recibí: Antes se seguir Aquí viene la parte del DATALEAK:

Correos son enviados con:  Nombre Apellido Nºde Socio Kms LanPass Fecha de Vencimiento y gracias a que tenemos en todos la opción de “cancelar suscripción” Podemos obtener el Correo Electronico.

Ejemplo :



















Gracias a GOOGLE obtenemos:

* Correo + check valido, pudiendo cancelar la suscripción de aquellos correos indexados por el buscados que son alrededor de 182 resultados .

*Además obtenemos códigos validos para realizar el Open Url Redirection por ejemplo:

Donde al reemplazar el sitio que viene después de ‘&’ podemos realizar finalmente la redirección arbitraria como muestra este ejemplo hacia Google: 

http://news.lan.com/?YEmp.2v3Z**********&http://google.cl

Alcance:

Con esta información, podriamos generar perfectamente un ataque de phishing personalizado. Además de tomar en cuenta que ya un DataLeak por si solo es un problema a la privacidad.

Estado:

Me comunique con el encargado de seguridad de LAN y me comunicaron que estaban al tanto de lo que sucedía y habían levantado el tema hacia el área encargada hace bastante tiempo.

TimeLapse?
7  Noviembre: Comunique el Problema
17 Noviembre: Solución a los Resultados de la Búsqueda en Google.
22 Noviembre: Publicación.

Excelente y rápida respuesta del Encargado de Seguridad de LAN, muy amable, atento a los reportes, y a responder cada correo.

*/ FIN

Leer artículo original: LAN.COM | DataLeak & OpenUrlRedirection

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.