יום רביעי, 17 במרץ 2021

טעות קטנה בבנק

הפעם זה התחיל בסופר
בדרך ליציאה, הבחנתי בעמדה שבה הוצגו אריזות ריקות של כרטיסי אשראי, לאחר בחינה של המוצר תהיתי האם ניתן יהיה לרכוש טעינה של הכרטיסים תוך שימוש ביתרת ה'תן ביס', וזאת לצורך עזרה יעילה לידידה בבידוד, התשובה בקופה הראשית הייתה שאין על מה לדבר, ורק מזומן או אשראי יאפשרו לרכוש כרטיסים נטענים אלו.

לאחר כניסה לאתר רשת המזון מתוך עניין ולצורך קריאה על השירות, הבנתי שמדובר בכרטיסים בשם easyway מסוג מסטרקרד אשר מונפקים על ידי אחד הבנקים.

קצת רקע, כרטיסי אשראי נטענים (Prepaid cards) הם לדעתי מוצר מבורך, שמאפשר בין היתר קניה עם סיכונים מופחתים, והתנהלות ללא מזומן גם לאנשים שמוגבלים מבחינה פיננסית, המחיר הוא עמלות גבוהות של רכישת הכרטיס וטעינה שלו.

בארצות הברית מדובר בשירות נפוץ מאוד, וניתן להיכנס לבית מרקחת ולצאת עם כרטיס נטען חד פעמיים אנונימי בצורה קלה ויעילה, תוך שימוש במזומן ללא צורך בהזדהות.
בארץ, עד לאחרונה הייתה ספקית גדולה אחת ששיווקה את המוצר במגבלות הרגולציה המקומית (רכישה והטענה מול הזדהות מלאה עם תעודת זהות) ולמיטב ידיעתי מלבד ספקיות קטנות לא הייתה להם תחרות של ממש.

אחד מהבנקים בישראל הצטרף לשוק זה, ובמקביל לכרטיסי Prepaid אחרים שהוא משווק כמו כרטיסי שכר נטענים לעובדים ללא חשבון בנק, הושק גם כרטיס נטען בשיתוף אחת מרשתות המזון הגדולות בארץ, וכך גם אני הכרתי את השירות, יש לציין שרשת המזון לא קשורה ישירות לבעיה שמצאתי, אך לקוחותיה כמו גם לקוחות אחרים שהחזיקו בכרטיסים היו בסיכון פוטנציאלי.

לאחר שהבנתי שהבנק הוא המנפק, נכנסתי לאתר הבנק לקרוא על המוצר ולקבל פרטים נוספים







כשקראתי את השאלות והתשובות בעמוד העזרה הייעודי הנותן שירות לכלל כרטיסי הprepaid שהבנק מנפיק (כרטיס שכר, כרטיס אש"ל לעובדים וכרטיס אנונימי חד פעמי) שמתי לב למשהו מוזר, כמענה לשאלה "כיצד ניתן לבדוק את היתרה ופעולות אחרונות שבוצעו בכרטיס?" הבנק מפנה לאתר בכתובת easyway.com

למרות שמיתוג הכרטיסים אכן נקרא easyway, הדומיין היה נראה חשוד, לא ישראלי (com.) ולא מעורר ביטחון.
בנוסף, כמענה לשאלה "מה ניתן לעשות במקרה בו הכרטיס נגנב או אבד?" הבנק הפנה ללינק אחר השייך לבנק 
easyway.bankjerusalem.co.il.









למרות שלא התכוונתי לבדוק את אבטחת השירות, הבנתי שככל הנראה יש כאן טעות אנוש שעלולה לעלות בבטיחות הלקוחות, אם באמת הבנק מפנה לכתובת שאיננה נכונה ומישהו זדוני יאתר את הטעות של הבנק וינצל זאת לרעה תוך פתיחה של אתר המתחזה לכזה שמספק שירותים למחזיקים בכרטיסי האשראי שהבנק מנפיק.

לאחר גלישה לכתובת easyway.com הגעתי לעמוד לא מאובטח שמראה פרסומות, ואת הכיתוב:
"!The domain easyway.com may be for sale by its owner"
נראה שהבעלים של הדומיין משתמש בשירות של חברה מתווכת לצורך איתור רוכש פוטנציאלי 


כניסה ללינק מפנה לאתר שדרכו נמסרות ההצעות לרכישת הדומיין, ולכאורה הוצעו 26 הצעות עד כה ולכן ההצעה הבאה חייבת להיות 25,000$.





 
בדיקת whois עכשווית והיסטורית לא הראתה קשר לבנק, וגם בדיקות ארכיון האינטרנט לא הביאו לתוצאה המיוחלת.












בשלב זה הבנתי שכדאי שהבנק יקבל פניה בנושא, ויתקן את הקישור לדומיין שהשתרבב לאתר הבנק.
 Timeline:
07.03.2021
איתור ואבחון הבעיה
08.03.2021
 פניה הועברה לבנק ירושלים דרך ה CERT במערך הסייבר הלאומי והתקבל מיד אישור קבלה 
09.03.2021
 יום לאחר מכן הועברה תשובה שהבנק טיפל בנושא (כפי שאכן בוצע).

יום שישי, 13 במרץ 2020

PowerMTA (SMTP Email Server) monitoring interfaces by SparkPost got exposed in Fofa search engine


PowerMTA is SMTP Server provided by SparkPost
(Simple Mail Transfer Protocol Server)

55,089 IPs with monitoring interfaces belong to verity of users and clients of PowerMTA, the SMTP Email Server provided by SparkPost - got exposed in FOFA cyberspace search engine.




PowerMTA product background:
Previously own by Port25 Solutions,Inc.



Later, SparkPost became Message Systems new company name for its cloud business, and Port25 products got rebranded as well under SparkPost, 







While many of the exposed interfaces has logs in read only mode, others have full control on the interface in admin mode.
Company got inform more than one time and refuse to handle to issue.

Some of the clients has in one log file metadata of more than 450,000 emails, so the estimated is metadata of the exposure is at least hundreds of millions of listings emails, this numbers can be billions.

Basically, it's heaven for spammer/scammer and other actors who collect emails for verity of uses, and that’s why I waited for the company to act, with no success.

Some of the users seems to be less legitimate and might be spammers and scammer who are misusing the product.

Many of the interfaces are running on Linux VPS (Virtual Private Servers)

The exposure can allow potential attacker to gain access to verity of activities included:
·  Status
·  Queues
·  Domains
·  Virtual MTAs
·  Jobs
·  Logs
·  Edit configuration
·  Show/enter license key
·  Start PowerMTA


Link to Fofa.so (like Shodan):

Dork

Due to the impact involved in this case and the amount of metadata with emails listing being involved, I decided to let the company to deal with the case much longer then usually needed, this while I knew they basically rejected any act in the case.
I waited almost a year.

During the time when reported the issue, the sum of exposed IP's were 24,835 IP’s, now the numbers are 55,089 IPs.


Timeline:

04.05.2019
First report by support email of port25
04/05/2019 
Auto replay from SparkPost email
with the case number 
and the following text:

“Hello,

Thank you for contacting Port25 Support. A Port25 Support Analyst will get back to you shortly during business hours (Mon-Fri 9:00am ET - 5:00pm ET). Please allow for additional response time when submitting a case over the weekend or during a holiday period. In order to better assist you, please ensure you have provided the software version and configuration file where applicable. If you have any additional information to add to this case, please reply to this email. Best regards, The Port25 Support Team”

No answer by email, and no Analyst contacted me.

13.05.2019
I call them by phone at 
Since I'm not a client they didn’t wanted to share information or data, they didn’t ask for more details.
They confirm they did receive the email about the issue.

16.05.2019
Answer from the Israeli CERT:
The Israeli Cyber EmergencyResponse Team (CERT) communicated with them as well, followed my report  - and basically got answer that SparkPost won't deal in the issue.

19.09.2019
I've sent another email regards the case to support at Port25, with no replay.

20.10.2019
An email sent to the privacy department at SparkPost, I got no replay.





Logs


Logs metadata:




Edit configuration 


Enter command interface


Domains interface


Current license key info



טעות קטנה בבנק

הפעם זה התחיל בסופר בדרך ליציאה, הבחנתי בעמדה שבה הוצגו אריזות ריקות של כרטיסי אשראי, לאחר בחינה של המוצר תהיתי האם ניתן יהיה לרכוש טעינה של...