iEstate 土斯債權 公司網站個人資料洩漏 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2021-00575
  •  發信 Vendor: 凱匯金融科技股份有限公司
  • Title: iEstate 土斯債權 公司網站個人資料洩漏
  • Introduction: API 洩漏用戶姓名、手機以及電子郵件明文。

處理狀態

目前狀態

公開
Last Update : 2021/11/05
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2021/08/26 15:21:23 : 新提交 (由 鄉民 更新此狀態)
  • 2021/08/28 00:31:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/30 17:32:37 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/30 17:32:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/30 17:32:37 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/31 10:53:39 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/31 10:53:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/08/31 10:53:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/26 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2021/10/28 09:41:58 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/11/05 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2021-00575
  • 通報者:鄉民
  • 風險:中
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

網站: https://iestate.tech/

此網站中使用之 Restful API
API: 透過推薦連結搜尋推薦者資料
GET https://ieapi.iestate.tech/api/v1/users/find_by_promotion_code?promotion_code=LS3OYR
API: 取得債權認購案之投資者列表
POST https://ieapi.iestate.tech/api/v1/claims/143/investment_users?page=1&limit=0

敘述

在相關網址中提及的 API 登入後皆可直接取得 Response,而此網站為為公開可註冊。

註冊及登入後可透過至開發者模式中尋找 https://ieapi.iestate.tech/api/v1/user/authentication 此 API 的請求紀錄取得 client, uid 以及 access-token 三個資料並帶在 Request Header 中用以請求相關網址提及的 API。

API: 透過推薦碼搜尋推薦者資料之請求結果為:
圖片

此 API 可以取得對應推薦者之姓名、電話以及電子郵件。

API: 取得債權認購案之投資者列表之請求結果為:
圖片

此 API 可以取得對應債權認購案之所有認購者的姓名、電話以及電子郵件。

修補建議

目前僅發現此兩個檔案具有資料洩漏的問題,但並不代表僅有這兩個 API 有問題,重新審查每一個 API 的請求內容,並將不必要的資料從這些 API 的 Response 中刪除。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;