miércoles, 19 de octubre de 2011

Escasa privacidad en CEAC

Con esto de que el mercado laboral esta un poco loco la oferta de cursos de formación ha crecido, supongo que por la esperanza de acceder a un puesto de trabajo gracias a una buena cualificación, pero hasta con esto tenemos que tener cuidado ya que el simple hecho de solicitar información en la web de CEAC puede traernos problemas.

CEAC pone a disposición de sus visitantes un formulario de solicitud de información sobre cualquiera de sus cursos. Por ejemplo, si accedemos al curso de Técnico en instalaciones de sistemas de seguridad podemos rellenar el formulario para que una persona de CEAC se ponga en contacto con nosotros y nos informe con más detalle sobre el curso, la forma de pago, etc. En mi caso no estoy interesado en el curso así que rellené el formulario con un nombre inventado y puse el teléfono de CEAC en lugar del mio.


Una vez que pulsamos el botón "Solicita Información" aparecerá una nueva página donde se nos indica que nos van a llamar en ese instante, tal y como indicamos en el formulario anterior.


En esta página se puede ver el nombre que pusimos en el formulario, el teléfono y el curso en el que estamos interesados pero también llama la atención la URL de la página (http://www.ceac.es/cursos/tecnico-en-instalaciones-de-sistemas-de-seguridad/gracias-174476-2484880.html) donde podemos ver dos códigos aparentemente inofensivos. ¿Que será el valor 174476? ¿y 2484880? ¿que sucederá si los cambiamos?, podemos probar la url http://www.ceac.es/cursos/tecnico-en-instalaciones-de-sistemas-de-seguridad/gracias-174476-5000.html y vemos que aparentemente no sucede nada pero ¿y si probamos cambiando el otro código?, http://www.ceac.es/cursos/tecnico-en-instalaciones-de-sistemas-de-seguridad/gracias-148340-5000.html, en este caso vemos que si sucede algo importante.


Sorprendentemente accedemos a la página que rellenó en su momento una tal Isabel cuyo número de teléfono es (o era) 68105.... y que se interesó por el curso de Auxiliar de Enfermería. Así que da que pensar que el primer número que aparece en la URL es una especie de identificador de la solicitud de forma que si lo vamos modificando iremos accediendo a los datos de todas las personas que rellenaron ese formulario en algún momento. Con ayuda de un pequeño script (o con un poco de paciencia) podríamos obtener todos los nombres y teléfonos de la gente que rellenó el formulario.


Por si esto no fuera suficientemente grave hay que comentar que esta página también es vulnerable a XSS de forma que si introducimos código JavaScript en el campo nombre este será ejecutado en el cliente cuando se muestre la página de forma que podríamos alterar su contenido a nuestro gusto y, aunque para las pruebas puse el típico alert con el mensaje XSS, podrían darse situaciones mucho más complicadas para el usuario, por ejemplo, alguien malintencionado podría enviarle un mensaje al movil con la URL modificada desde la que le solicitaría los datos de su tarjeta de crédito para el pago del curso o cualquier  otra cosa que se nos pase por la cabeza. El usuario podría verlo como algo normal ya que fue él quien pidió información a CEAC y es "CEAC" quien le solicita que entre a una URL que se encuentra en el dominio ceac.com... ¿porque no confiar? Esta claro que visto lo visto no hay que fiarse de nada.


Fecha de comunicación a CEAC: 13/10/2011
Resolución: 24/10/2011

3 comentarios:

  1. Puff, la verdad es que no era muy complicado de ver, como indicas y desde luego no me parece un agujero de seguridad, es bastante más gordo. Se puede tener los datos de mucha gente.

    A ver si lo solucionan. Buen trabajo!

    ResponderEliminar
  2. Lo que está claro es que si nos apuntamos al curso "Técnico en instalaciones de sistemas de seguridad" no vamos a aprender nada, porque de seguridad poca, se ve que no tienen a alguien capacitado ¿Cómo esperan enseñar si no tienen los conocimientos?

    ResponderEliminar
  3. Hola Gustavo, por suerte los datos son solo parciales y solo se ve el nombre y el teléfono. Ya sería la repera que se viera también la dirección y todo lo demás pero aún así también me parece muy gordo y encima, pese a que les he escrito no dan señales de vida para resolverlo :(

    AOCarallo veo que te has fijado en el curso de seguridad, lo puse como ejemplo ya que el formulario para solicitar información aparece en todos los cursos, pero me pareció apropiado poner justo ese curso como ejemplo por lo mismo que tu indicas, si no cumplen ellos mismos los sistemas de seguridad, no se como los van a enseñar.

    Gracias a los dos por pasaros por aquí.

    ResponderEliminar