CarPostal a résolu une grave vulnérabilité d’exposition des données sur l’une de ses plateformes de transports publics suisses en ligne.

Les chercheurs en cybersécurité du ZFT, Sven Faßbender, Martin Tschirsich et le Dr André Zilch, ont mené une test de pénétration sur la plateforme Ticketcontrol.ch, exploitée par CarPostal, une filiale de ÖBB-Personenverkehrs AG.

TicketControl est un service en ligne utilisé pour gérer les esquives tarifaires en Suisse. La plateforme a été conçue pour identifier les personnes qui évitent continuellement de payer leur trajet dans les transports en commun en se connectant à un registre national. Les passagers peuvent également télécharger la preuve qu’ils avaient des billets valides au moment où une infraction a été enregistrée.

« Défaut évident »

Les chercheurs de ZFT affirment que le test d’intrusion a révélé la compromission de données confidentielles stockées de manière centralisée par « une lacune évidente », une vulnérabilité de référence d’objet direct (IDOR) non sécurisée.

Les vulnérabilités IDOR sont des problèmes de sécurité de contrôle d’accès qui surviennent lorsqu’une application a la capacité d’utiliser des entrées fournies par l’utilisateur pour influencer directement des objets, y compris des objets de base de données et des fichiers statiques.

Si elles sont exploitées, les failles IDOR peuvent contourner les contrôles d’accès, voler ou divulguer des données ou modifier d’autres ressources.

Selon le rapport (PDF, traduit), un manque de contrôle d’accès sur un chemin Ticketcontrol a permis à des attaquants externes non authentifiés de charger des ressources telles que du code JavaScript spécialement conçu ou des fichiers image malveillants via une requête HTTP GET et un identifiant numérique.

En théorie, cela permettait aux attaquants d’extraire les données des clients de la plate-forme.

« Les personnes qui utilisaient le train ou le bus sans billet valide devaient télécharger des documents contenant des informations personnelles dans l’application concernée », a déclaré Faßbender. La gorgée quotidienne.

« En utilisant la vulnérabilité IDOR, un attaquant a pu télécharger ces documents. Un attaquant pourrait utiliser ces documents pour se faire passer pour les victimes ou monter d’autres attaques telles que des tentatives de harcèlement ou de phishing.

Monter le ticket

La vulnérabilité a été signalée en privé à CarPostal AG, au Commissaire fédéral à la protection des données (FDPIC) et au Centre national pour la cybersécurité (NCSC) le 21 janvier 2022.

CarPostal a confirmé la vulnérabilité et « a immédiatement remédié » à la faille, selon ZFT.

En savoir plus sur les dernières nouvelles sur les vulnérabilités de sécurité

Média local Rapports SRF que 1 776 ensembles de données exposés ont été supprimés après la remédiation. L’opérateur a déclaré qu’il « regrette beaucoup[s] cette erreur et m’excuser[s] aux clients dont nous n’avons pas suffisamment protégé les données ».

L’équipe de recherche recommande que sur ces portails, des vérifications d’autorisation côté serveur soient mises en œuvre avant que les demandes ne soient traitées, et lorsque des systèmes d’autorisation sont utilisés, le principe du moindre privilège devrait être appliqué.

La gorgée quotidienne a contacté CarPostal avec des questions supplémentaires et nous mettrons à jour cette histoire si et quand nous recevrons une réponse.