Fallo de seguridad de SHERLOC permite conocer la ubicación de los vehículos de cualquiera de sus clientes

A finales del mes de mayo y considerando que mi contrato terminaba a mediados del mes de junio, ingresé al sitio web de Sherloc la empresa que me obligaron a contratar cuando compré mi vehículo. En este portal se podía ver la localización del vehículo, además de datos como son número de placa, motor, chasis, modelo, marca, color y otros datos relativos al vehículo. 

Cuando contraté este servicio se me proporcionó un usuario compuesto de 6 dígitos, cuando ingresé al portal de clientes me pude fijar que este número asignado a mi como usuario estaba como parámetro en la URL de la aplicación, la curiosidad hizo que inicie cambiando el dígito final de este parámetro, lo hice varias veces y lo que pude comprobar es que podía ingresar a ver la localización de otros vehículos que obviamente no me pertenecen, además de poder ver la localización, se puede ver los datos señalados en el párrafo anterior.


En la imagen se puede ver la aplicación que permite localizar un vehículo, en el óvalo se puede ver el código de seis dígitos que se asigna a cada clientes para el acceso. Solo cambiando este código se puede ver la localización de otros vehículos. Como se puede ver en la imagen también se muestra la cédula (ID Cliente), nombres completos, marca, modelo, color, placa, chasis, motor. Aclaro que los datos confidenciales en las imágenes fueron borrados.



En la imagen se puede ver la ubicación de un vehículo con un contrato "GOLDEN" de la misma manera muestra todos los datos del cliente y su vehículo, por supuesto también la ubicación. Únicamente cambiado el parámetro "varEQgeCodigoE".


Otra imagen, otro vehículo, otro cliente con privacidad 0. 

Con la curiosidad que me invadió quise hacer una última prueba en la que quería ver si había como hacer un fuzz del URL y capturar la respuesta para posteriormente tener un listado de los usuarios habilitados. Para mi sorpresa, en la respuesta de la aplicación viajaban datos como la cédula del usuario y el nombre, por lo que con la ayuda de un script (que no lo elaboré) se podría sacar un listado de todos los usuarios, relacionados con las cédulas y nombres en cuestión de minutos. 

Una vez que comprobé esta falla, redacté una carta de queja hacia la empresa SHERLOC, lamentablemente hasta el día de hoy no he tenido una respuesta de la empresa informando que el fallo fue corregido.



Es bastante preocupante que empresas de "seguridad" no tengan seguridad en sus aplicaciones y que solo les importe que se cancele anualmente casi 400 dólares por un servicio que en lugar de dar protección a sus clientes puede servir para planificar robos, secuestros, falsificaciones y otros actos delictivos.



Primeros