shikata ga nai

Private? There is no such things.

Staff Information Disclosure on Support Ticketing Systemを訳してみた

Hello there, ('ω')ノ

 

サポートチケットシステムに関するスタッフ情報の開示を。

 

脆弱性:

 情報開示

 

記事:

 https://ph-hitachi.medium.com/staff-information-disclosure-on-support-ticketing-system-p2-x-xxx-a08960aea7b1

 

サポートチケットシステムとは。

チケットは、ソーシャルメディア、ライブチャットやメッセージング、電子メール。

または会社のWebサイトに設定したカスタマーサポートポータルなど。

さまざまなチャネルから取得できて。

 

カスタマーサービスへのオムニチャネルアプローチによって。

企業はすべてのチャネルからのリクエストを整理して。

それらを1つの包括的なダッシュボードにまとめることで。

チケットワークフローを合理化できて。

 

オムニチャネルチケットシステムは、任意のチャネルからのクエリを可能にして。

サポートチケットシステムは、組織全体の顧客の会話を可視化してて。

サポートチームが協力してクエリを解決したり。

チケットから関連する洞察を引き出したりできるようにして。

 

このバグをどのように見つけたかというと。

APIのハンティングの脆弱性が好きで。

サイドバーのナビゲーションに「サポートチケット」が表示されているので。

開いて発行して、スタッフからの返信するのを待つことに。

 

f:id:ThisIsOne:20210906111247p:plain

 

その後、自分の個人情報がAPIで返されたという応答を確認して。

さらに、Burp Suiteは、開示された電子メールアドレスを検出して。

下記のIssuesで、「電子メールアドレスが開示された」とのことで。

/api/***/ tickets」で開示されているメールアドレスの問題で。

Burp Suiteは2通のメールを受け取っていて。

1通目は自のメールで、2通目はスタッフのメールで。

 

f:id:ThisIsOne:20210906111317p:plain

 

しかしながら、開示された電子メールだけではなくて。

下記は、スタッフの返信で。

 

f:id:ThisIsOne:20210906111407p:plain

 

下記の応答をみると。

アカウントの作成日、電子メール、携帯電話番号、2FAピン、IPアドレスなどを。

確認できて。

 

f:id:ThisIsOne:20210906111346p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain