Вчера наткнулся на очень неприятный баг на сайте mattino. Мне нужно было указать данные из скидочной карты, что бы сделать заказ, но к сожалению, как оказалось позже, мою фамилию при выдаче карты указали неправильно.
Я перепробовал кучу вариантов, долго мучился указывая всевозможные вариации написания фамилиии, но так ничего и не получалось.
И потом в порыве отчаяния я набрал всего одну первую букву фамилии. К превеликому удивлению меня пустило на сайт! Я подумал, что операторы которые забивали мои донные лоханулись и ввели только первую букву фамилии, но нет, в редактировании информации я нашел свою фамилию с 2 ошибками, но она там была указана полностью. После чего я ее исправил, вышел и снова попытался залогиниться и как оказалось, можно ввести начало фамилии из любого кол-ва символов и авторизация проходит. Суда по всему у них там запрос выглядит, что то вроде like '...%'.
После моего непродолжительного удивления, пошел затирать все свои данные на сайте, а там и телефон и дата рождения и др. И написал им на email найденный на сайте об этой уязвимости.
Но мысль об открытой уязвимости не покидала меня, пошел читать о подобных уязвимостях с авторизацией по фамилии. Нашел гистограмму распределение первой буквы фамилии среди всех фамилий России. Примерно прикинул, что в среднем понадобится примерно 10 попыток, что бы подобрать правильную первую букву, если перебор поставить в нужном порядке.
Сегодня весь день ждал ответа от их поддержки или хотя бы реакции (закрытие уязвимости или вообще страницы логина), но увы его так и нет.
Выводы делайте сами. Но удалить личные данные с их сайта не помешало бы ;)
Автор: shulyakovskiy
