viernes, 30 de abril de 1999

Tiendas on-line mal configuradas pueden exponer los datos de compradores

El comercio electrónico está de moda, cada vez se ponen más tiendas
on-line, y cada vez se compra más por Internet, pero los comercios
mal configurados pueden ser peligrosos para los compradores.
Se ha descubierto una vulnerabilidad en la mayoría de sistemas de
comercio electrónico que expone los datos de tarjetas de crédito,
pedidos, e-mails, direcciones, etc. y otra información sobre los
pedidos de cualquier persona. El problema no radica en los programas
o sistemas de compra, ni en un agujero en ellos, sino en la mala
configuración o inexperiencia de los administradores de la tienda
virtual.

Si los programas no se configuran adecuadamente, siguiendo las
directivas indicadas en los manuales algunos directorios pueden
quedar expuestos, ofreciendo información confidencial y sumamente
valiosa. Estos datos son indexados por numerosos motores de
búsqueda, por lo que un usuario malicioso puede, empleando su
navegador habitual, a través de un buscador de recursos acceder
a dicha información con tan sólo efectuar una consulta adecuada.


Existen seis sistemas de "carro de compra" vulnerables ante una
mala configuración, y se han descubierto más de 300 tiendas que
exponen datos confidenciales. El problema es evidentemente una
falta de cuidado en la instalación ya que gran parte de los
programas afectados disponen además de opciones para el uso de
PGP para cifrar los datos y eliminar este problema.

Software afectado:

Selena Sol's WebStore 1.0 (http://www.extropia.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: web_store.cgi
Directorio expuesto: Admin_files
Información expuesta: Admin_files/order.log
Más de 100 sistemas afectados

Order Form v1.2 (http://www.io.com/~rga/scripts/cgiorder.html)
Plataformas: Win32 / Nix (Perl5)
Directorio expuesto: Varios, comunmente "Orders" "order" "orders" etc.

Información expuesta: order_log_v12.dat (también order_log.dat)
Más de 15 sistemas afectados

Seaside Enterprises EZMall 2000 (http://www.ezmall2000.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: mall2000.cgi
Directorio expuesto: mall_log_files
Información expuesta: order.log
Más de 20 sistemas afectados
QuikStore (http://www.quikstore.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: quikstore.cgi
Información expuesta: quikstore.cfg

PDGSoft's PDG Shopping Cart 1.5 (http://www.pdgsoft.com/)
Plataformas: Win32 / Nix
Executable: shopper.cgi
Directorio expuesto: PDG_Cart/ (puede variar entre instalaciones)
Información expuesta: PDG_Cart/order.log y PDG_Cart/shopper.conf

Mercantec's SoftCart (http://www.mercantec.com/)
Plataformas: Win32
Ejecutable: SoftCart.exe
Directorio expuesto: /orders y /pw
Información expuesta: ficheros /orders/*.olf" y /pw/storemgr.pw

En algunos casos el error puede ir aun más lejos ya que pueden
quedar totalmente accesibles datos acerca de la configuración,
claves, etc. lo cual puede dar una valiosa información al atacante.
Los propios fabricantes de los programas reconocen los problemas,
pero culpan a los administradores de los sitios afectados ya que
el sistema es totalmente seguro si se instala y configura
correctamente. Lógicamente los sitios afectados son las pequeñas
tiendas virtuales, los sitios de reconocido prestigio como Amazon,
cdrom, cdmusic, etc. están libre de todo peligro.

Más información:
Internet news: http://www.internetnews.com/ec-news/article/0,1087,4_102621,00.html
Noticias.com: http://www.noticias.com/noticias/1999/9904/n99042219.htm
Bugtraq: http://www.geek-girl.com/bugtraq/1999_2/0191.html
Bugtraq: http://www.geek-girl.com/bugtraq/1999_2/0207.html
Cnet: http://news.com/News/Item/0,4,35451,00.html



Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada