A Dell API kihasználásával 49 millió vásárló adatait szivárogtatták ki

A Dell adatszivárgás mögött álló támadó azt mondta, hogy hamis vállalatnak álcázva magát egy partner portál API-ját kihasználva jutott 49 millió vásárló adataihoz. Ehhez hozzátartoztak a rendelési és jótállási információk, szervíztagek, megrendelők nevei, megadott helyadatok, illetve a rendelés és a megrendelők azonosítószáma.

Egy Menelik nevű felhasználó töltötte fel az adatokat a Breach Forumsra a Dark Weben. Állítása szerint nagyon egyszerű partnerként regisztrálni, mert csak egy jelentkezési lapot kell kitölteni: nem létező cégek nevén regisztrált, és 2 napon belül hozzáfért az adatbázishoz hitelesítés igénye nélkül.

Hozzáférés után Menelik létrehozott egy programot amely 7 számjegyű szervíztageket generált majd beküldte azokat a portál oldalára, így megszerezve a visszaküldött információkat. Mivel a portál nem rendelkezett semmilyen korlátozással, a támadó három héten keresztül, percenként 5000 kérést generált anélkül, hogy a Dell tiltotta volna a próbálkozásokat. Így tudta végül 49 millió ügyfél adatait megszerezni, és állítása szerint mindössze 1-2 napra volt szüksége a támadás megkezdéséhez.

Számszerűsítve az alábbi hardvereket érintette a támadás:

  • Monitorok: 22.406.133
  • Alianware Notebookok: 447.315
  • Chromebookok: 198.713
  • Inspiron Notebookok: 11.257.567
  • Inspiron számítógépek: 1.731.767
  • Latitude Laptopok: 4.130.510
  • Optiplex: 5.177.626
  • Poweredge: 783.575
  • Precision számítógépek: 798.018
  • Precision Notebookok: 486.244
  • Vostro Notebookok: 148.087
  • Vostro számítógépek: 37.427
  • Xps Notebookok: 1.045.302
  • Xps/Alienware számítógépek: 399.695

Április 12-én és 14-én az adatok megszerzése után Menelik emailben megfogalmazta a bugot és annak veszélyeit a Dell IT biztonsági csapatának, de a techcég nem válaszolt illetve nem javította a jelzett hibát. A Dell közleménye szerint megkapták a bejelentést, sőt, már az előtt is tudtak az incidensről, de nem kívántak ennél többet nyilatkozni, mivel az eset miatt aktív bűnügyi nyomozás indult.

(A támadó részletes leírása a Dellnek a bugról – Menelik)

Egyre többször használják ki az API-kat az adatszivárgásokban

A könnyen hozzáférhető API-k igen jelentős gyenge pontjává váltak a cégeknek az elmúlt években, hiszen a támadók gyakran használják ki őket az érzékeny adatok megszerzése érdekében. 2021-ben a Facebook API bug kihasználásával fértek hozzá több mint 500 millió felhasználó telefonszámaihoz, ugyanebben az évben a Twittert is hasonló támadás érte, legújabban pedig a Trello hibáját használták ki, amivel több, mint 15 millió email fiókot szereztek meg.

(bleepingcomputer.com)