La empresa de logística DPD Group solucionó una vulnerabilidad de interfaz de programación de aplicaciones (API) potencialmente grave que podría haber permitido a cualquier usuario suficientemente experto en tecnología obtener detalles de los paquetes de otros, así como sus datos personales, en octubre de 2021, según ha surgido.
La existencia de la vulnerabilidad ahora ha sido revelada en un comunicado publicado por los hackers éticos Pen Test Partners, una consultora de seguridad con oficinas en el Reino Unido y EE. UU., que el año pasado descubrió una falla grave que afectaba a los usuarios de la aplicación móvil de Brewdog.
La vulnerabilidad existía en la forma en que DPD permite a los clientes rastrear sus paquetes mientras están en tránsito, utilizando un código de paquete único. Cuando se pasa un código de parcela, la llamada API de DPD se dirige a un extracto de OpenStreetMap que resalta la dirección de destino. Esto podría usarse fácilmente para identificar un código postal. Con estas dos piezas de información, un atacante determinado podría, en teoría, haber usado el token de sesión resultante para ver el JSON subyacente, dándole acceso a la información de identificación personal (PII) del destinatario, en particular, a sus datos de contacto.
El hacker de Pen Test Partners usó la oficina de Buckinghamshire de la empresa como ejemplo, pero también probó varios códigos de parcela diferentes con el permiso del destinatario y, en cada caso, dijo que pudo ubicar los datos con éxito.
La cadena de eventos detallada por Pen Test Partners se basa en un conjunto muy específico de circunstancias que se desarrollan, por lo que es poco probable que alguien a quien se le hayan entregado paquetes a través de DPD haya visto comprometida su información de esta manera. Sin embargo, el hecho técnico de la exposición de datos es significativo.
Pen Test Partners dijo que al ser contactado, DPD respondió de inmediato a través de los canales apropiados y solucionó la vulnerabilidad en una semana. La firma también solicitó un retraso en la divulgación hasta ahora para investigar, revisar y proteger más a fondo su entorno.
El hacker detrás de la divulgación escribió: “La experiencia de divulgación fue muy positiva, ¡lo que supuso un cambio refrescante! Trabajar con DPD Group en esta divulgación fue fácil, claro y sin restricciones políticas. Tienen un gran programa de divulgación de vulnerabilidades y arreglan las cosas rápidamente. Seriamente impresionado.
Jamie Akhtar de Cybersmart dijo que la historia de advertencia ilustraba la importancia de realizar ejercicios regulares de pruebas de penetración, y al reaccionar abierta y rápidamente, DPD puede haber evitado el peor de los casos.
“Las empresas de paquetería son [some] de los más imitados por los ciberdelincuentes para estafas de phishing”, dijo. “Esta situación fácilmente podría haber llevado a una estafa exitosa en la escala del incidente de Royal Mail el año pasado”.
Trevor Morgan, gerente de producto de Comforte AG, agregó: “Puede intentar conectar todos los puntos de entrada y salida, pero los actores de amenazas siempre están buscando la única falla simple que les permitirá acceder a los datos confidenciales de su empresa.
“Todos debemos recordar que los datos son su objetivo, por lo que la organización inteligente y proactiva debe tener en cuenta que los piratas informáticos encuentren una forma de ingresar al ecosistema de datos y realmente lo tengan en sus manos. Inevitablemente, pueden encontrar y encontrarán ese defecto que has pasado por alto”.