Bugün yakından bakacağız VvAAonun doktorlar ve tıbbi klinikler tarafından kullanılan en büyük sigorta ve danışmanlık şirketlerinden biri Hollanda’da. +130 bin sağlık hizmeti sağlayıcısını temsil ettiklerini belirtiyorlar. Ben de dahil, 2005’ten beri üyeyim ve son 10 yıldan beri sigortam var (hayır, siber değil). Neden? Çünkü onlar, Hollanda sağlık hizmetlerinde köklü, 100 yıl önce 3 tıp doktoru tarafından kurulmuş büyük bir şirket.
Yani doktorların nasıl düşündüğünü biliyorlar, toplumla iç içe oluyorlar ve iyilik yapmaya çalışıyorlar; kanıt pudingin içinde, hadi hackleyelim.
Bir yıldan fazla bir süre önce HAwebsso.nl’de, +15 bin Hollandalı doktorun e-postaları ve karma şifreleri de dahil olmak üzere özel bilgilerinin sızdırılmasına yol açan veri sızıntısını tartışmıştık. Bu ilginç bir bulguydu çünkü en az +3 yıldır var olan bir hatayı ortaya çıkardı (Archive.org günlükleriyle ilgili olarak belki +5 yıl bile).
Bu saldırıda elde edilen veriler hedef odaklı kimlik avı saldırıları gerçekleştirmek için kolaylıkla kullanılabilir.
LHV hatayı hızlı bir şekilde hafifletti ve açıklamayı koordine etti, nasıl olduğuna dair harika bir örnek koordineli güvenlik açığı açıklaması uygulanabilir sağlık hizmetlerinde.
Bugün bir göz atacağız VvAA. Böceğin keşfedildiği sırada (24 Mart 2023) onların bir şeyleri yoktu uygun sorumlu açıklama veya koordineli güvenlik açığı açıklama politikası yayınlandı.
Bu onu biraz etik hackerlar için riskli Altyapılarını sorunlara karşı test etmek ve varlıklarını ve müşteri verilerini güvence altına almalarına yardımcı olmak için yetenekler büyük bir eksiklik. iyi haber şu ki, bu rapordan sonra uygulandı politika!
Birisi kendilerine şu soruyu sorabilir: Açıkça izin verilmeyen bir sistemi hacklemek etik dışı mıdır?
Bu tür bir güvenlik araştırması yapmanın kamu yararına hizmet ettiği söylenebilir ve toplumumuz üzerinde ciddi etkisi olan konuları araştırmaya çalışan bir gazeteci olmakla karşılaştırılabilir. Ayrıca DIVD Davranış Kurallarına bakın:
Yasal olarak izin verilen sınırların dışında çalıştığımızın farkındayız, bu nedenle güvenlik açıklarının ifşa edilmesiyle ilgili davalarda yaygın olarak kullanılan şu üç kritere göre ilerliyoruz:
Toplumsal ihtiyaç: Mümkün olduğu kadar çok sayıda internet kullanıcısının çevrimiçi zarar görmesini önlemek için güvenlik açığı açıklamasını yapıyoruz ve herhangi bir mali, politik veya bireysel çıkara hizmet etmiyoruz.
Prensibi Orantılılık: Bu ihtiyaca uygun araçlarla hizmet veriyoruz. Araştırmamız çevrimiçi sistemlerin bütünlüğünü ve kullanılabilirliğini artırmalı ve azaltmamalıdır.
Prensibi Yetki devri: İhtiyacı karşılamak için birden fazla araç mevcutsa, en az etkiye sahip olanı tercih ederiz.
A gerçek dünya örneği Hollandalı Gazeteci’nin Daniel Verlaan hackledi AB savunma bakanlarının video konferansı. Bildiğim kadarıyla araştırma yapma izni yoktu ama bu hack nedeniyle dava edilmiyor. Bay Borrell hacklemesi sırasında ona şunları söyledi:
“Bunun suç olduğunu biliyorsun değil mi? Polis gelmeden önce hemen imzanızı atsanız iyi olur.” – Bay Borrell, 21 Kasım 2020
Daniel gibi etik gazetecileri/bilgisayar korsanlarını desteklememiz gerektiğine dair (siyasi) liderliği ikna etmek için hala yapmamız gereken işlerin olduğuna dair açık bir işaret. Onları kovuşturmayın, korkutmayın ve hatta işlerini riskli hale getiren yasalara sahip olmayın.
Son zamanlarda DIVD’nin Adalet Bakanımız (Hollandalı) tarafından onaylanması iyi bir gelişme; DIVD, internetin tamamını güvenlik açıklarına karşı aralıksız taradığından ve sorumlu kişiler bu hataları sistem sahiplerine açıkladığından. Sorumlu bir ifşa politikasına sahip olsalar bile, dünyanın neresinde olurlarsa olsunlar. Kimse bir itfaiyeciye dava açmaz değil mi? Bu arada, her zaman yetenek ararlar, eğer yapabiliyorsanız onlara katılın!
Bu hack için nihai hedefimiz Herkesin özel sigorta poliçesi belgelerini edinin. Garantili fidye yazılımı ödemesi de dahil olmak üzere fidye yazılımı saldırıları kimin kapsamına giriyor? Hadi şu dosyaları alalım!
Olmam gerektiği gibi gerçekten dikkatli burada (CVD poliçesi yok) Aynı zamanda VvAA sigorta müşterisi olan bir meslektaşıma ulaştım ve onun dosyalarını ve poliçesini almaya çalışıp çalışmadığımı sordum. Kabul etti ve hesap ayrıntılarını paylaştı.
Dahili portallarında iki hesaba sahip olmak IDOR hatalarını güvenli bir şekilde bulmama yardımcı oluyor; Diğer müşterilere isabet eden ‘rastgele’ kimlikler yerine arkadaşımın kimliklerini kullanabilirim.
Haydi başlayalım! Kendi hesabıma giriş yaptıktan sonra hemen tanıdım /s/ URL’de. Bu genellikle Salesforce’un perde arkasında kullanıldığına dair bir ipucudur.
Salesforce nesnelerle çalışır; her şey perde arkasında bir nesnedir. Faturanızın bir nesne kimliği vardır, profilinizin bir nesne kimliği vardır ve depolanan diğer tüm verilere bu kimliğe başvurularak ulaşılabilir.
Bir kimlik bulabildiğinizde URL’yi şu şekilde oluşturabilirsiniz:https://mijn.vvaa.nl/objectidhere Ayrıca daha fazla arka plan bilgisi için bu bloga bakın.
Burp’u MITM için proxy olarak kullanırken, trafikte kullanıldığı görülen nesne kimliklerini topladım. Biri 0011r00002IXXXXX iletişim bilgilerimi ziyaret ettiğimde.