18 agosto 2011

Concursos online, un peligro para nuestros datos

Ultimamente no paran de aparecer concursos online de distintas marcas que nos invitan a participar eligiendo nuevos productos, participar en su promoción o desarrollando sobre sus plataformas.

En general, sobretodo si se trata de grandes empresas en las que podemos tener depositada cierta confianza, no dudamos en participar, pues no hay mucho que hacer y el premio suele ser bastante interesante. Ahora bien, ¿en realidad nos merece la pena la posibilidad de ganar el premio frente a brindarle a estas compañías una gran cantidad de datos personales?

Dejando de lado los términos y condiciones que podamos aceptar cuando vamos a participar en un determinado concurso, me voy a centrar en la seguridad de esos sistemas y la facilidad que pueden tener los delincuentes de acceder a toda la información que contienen.

Disclaimer:
No me hago responsable del uso que pueda darse de la información que se publica a continuación.
Los ejemplos que se van a dar corresponden a concursos ya finalizados por lo que no supone un riesgo para los datos de los concursantes recogidos en los mismos.

Antes de empezar, basta decir que podríamos suponer que al encontrarnos ante empresas de cierto tamaño y visibilidad los concursos gozarían de las medidas de seguridad necesarias para evitar el acceso a los datos o la manipulación de los mismos pero, viendo lo que ocurrió con Sony y todos los fallos 'de libro' que se descubrieron en muchos de sus servicios web, no podemos fiarnos de nadie.

El concurso que voy a poner como ejemplo es el llevado a cabo por HP como promoción de sus impresoras e-print, Generación E-Print. En este concurso se pide a los usuarios que realizen una foto y la envíen a un email de contacto quedando registrada en el sistema y pudiendo ser votada con el objetivo de ganar una de las impresoras (o aparecer en el mural final).

La vulnerabilidad se encontraba en el sistema de voto, siendo ésta un Blind-SQLi. Además, la explotación del mismo era extremadamente sencilla pues era un boolean 'de libro'.

La url afectada era la siguiente:
http://generacioneprint.es/votar.php?id=BSQLi&valor=X

Por lo tanto, era trivial para una persona de moral relajada acceder a la base de datos del concurso y obtener los datos personales de todos los concursantes.

Ahora bien, ¿era posible modificar el resultado del concurso?
Sorprendentemente se podía alterar el resultado de forma trivial, pues no validaban el contenido de la variable 'valor' (correspondiente a la puntuación/estrellas que se le daba a la fotografía) permitiéndonos inyectar el valor que nos interesara (desde aumentar en miles los votos de una fotografía como el reducir el de otras introduciendo un número negativo). Como podemos ver, no había que recurrir a ningún método complejo para ser nosotros los ganadores del concurso.

Cabe destacar que la página del concurso no dispone de ningún email o formulario de contacto, dificultando la notificación de estas vulnerabilidades. Intenté ponerme en contacto a través de Twitter (el que ponían en la página del concurso) pero no hubo respuesta:


A pesar de que haya hablado únicamente de las vulnerabilidades descubiertas en el concurso de HP (por ser el único que no sigue activo), cabe destacar que actualmente todos los concursos con los que me he encontrado (y no son pocos) eran vulnerables a distintos ataques, pudiendo obtener finalmente todos los datos de los concursantes.

Ya para terminar, muchos de los servicios web de estos concursos son realizados por terceros, lo cual sorprende que tengan vulnerabilidades tan 'de libro' (sobre todo teniendo en cuenta lo que habrán cobrado por el desarrollo). Un caso similar al de HP ha ocurrido con Microsoft, aunque en este caso he podido contactar con ellos y lo están solucionando (los demás pertenecían a empresas de otros sectores, como p.e Danone).

----------------------------

Contribución gracias a Luis Delgado

5 comments :

Zerial dijo...

Tambien hay casos en los que se pueden descargar dump de bases de datos o archivos csv o txt con información de sus clientes, asistentes a cursos o simplemente personas que no saben que sus datos los tiene esa empresa.

Por lo general la gente confia en el sitio, ya que ellos dicen que cumplen con el mas alto estandar nacional e internacional de seguridad y que todos sus datos van cifrados con un certificado SSL de millones de bits ... Pero nosotros sabemos que no es asi, que tenga un certificado ssl garantiza la seguridad del sitio

Juan Aguilera dijo...

Pues qué fieras los de los concursos estos. Gracias a este blog ( y a las contribuciones como esta ;) ) cada día estoy más paranoico. :P

Muy buen artículo, gracias.

Tralala dijo...

¿y te han enviado ya la impresora? :)

Luis Delgado dijo...

 jajaja ... todos los votos que sumé los eliminé, pero quien sabe :)

Ajia dijo...

Caso Prueba y Verás, cuando Nintendo presenta su nueva videoconsola n3ds: http://www.elotrolado.net/wiki/Caso_Prueba_y_ver%C3%A1s