A Dell adatszivárgás mögött álló támadó azt mondta, hogy hamis vállalatnak álcázva magát egy partner portál API-ját kihasználva jutott 49 millió vásárló adataihoz. Ehhez hozzátartoztak a rendelési és jótállási információk, szervíztagek, megrendelők nevei, megadott helyadatok, illetve a rendelés és a megrendelők azonosítószáma.
Egy Menelik nevű felhasználó töltötte fel az adatokat a Breach Forumsra a Dark Weben. Állítása szerint nagyon egyszerű partnerként regisztrálni, mert csak egy jelentkezési lapot kell kitölteni: nem létező cégek nevén regisztrált, és 2 napon belül hozzáfért az adatbázishoz hitelesítés igénye nélkül.
Hozzáférés után Menelik létrehozott egy programot amely 7 számjegyű szervíztageket generált majd beküldte azokat a portál oldalára, így megszerezve a visszaküldött információkat. Mivel a portál nem rendelkezett semmilyen korlátozással, a támadó három héten keresztül, percenként 5000 kérést generált anélkül, hogy a Dell tiltotta volna a próbálkozásokat. Így tudta végül 49 millió ügyfél adatait megszerezni, és állítása szerint mindössze 1-2 napra volt szüksége a támadás megkezdéséhez.
Számszerűsítve az alábbi hardvereket érintette a támadás:
- Monitorok: 22.406.133
- Alianware Notebookok: 447.315
- Chromebookok: 198.713
- Inspiron Notebookok: 11.257.567
- Inspiron számítógépek: 1.731.767
- Latitude Laptopok: 4.130.510
- Optiplex: 5.177.626
- Poweredge: 783.575
- Precision számítógépek: 798.018
- Precision Notebookok: 486.244
- Vostro Notebookok: 148.087
- Vostro számítógépek: 37.427
- Xps Notebookok: 1.045.302
- Xps/Alienware számítógépek: 399.695
Április 12-én és 14-én az adatok megszerzése után Menelik emailben megfogalmazta a bugot és annak veszélyeit a Dell IT biztonsági csapatának, de a techcég nem válaszolt illetve nem javította a jelzett hibát. A Dell közleménye szerint megkapták a bejelentést, sőt, már az előtt is tudtak az incidensről, de nem kívántak ennél többet nyilatkozni, mivel az eset miatt aktív bűnügyi nyomozás indult.
(A támadó részletes leírása a Dellnek a bugról – Menelik)
Egyre többször használják ki az API-kat az adatszivárgásokban
A könnyen hozzáférhető API-k igen jelentős gyenge pontjává váltak a cégeknek az elmúlt években, hiszen a támadók gyakran használják ki őket az érzékeny adatok megszerzése érdekében. 2021-ben a Facebook API bug kihasználásával fértek hozzá több mint 500 millió felhasználó telefonszámaihoz, ugyanebben az évben a Twittert is hasonló támadás érte, legújabban pedig a Trello hibáját használták ki, amivel több, mint 15 millió email fiókot szereztek meg.