O defeito de monitoramento de pacotes do grupo DPD pode ter exposto dados do cliente

Uma vulnerabilidade de chamada de API não autenticada no sistema de rastreamento de pacotes do DPD Group pode ter sido explorada para acessar os detalhes de identificação pessoal de seus clientes.

O DPD Group é um serviço de entrega de pacotes com presença global, enviando aproximadamente dois bilhões de pacotes por ano em todo o mundo.

Para rastrear o status e a localização de seu pacote, os clientes devem inserir o código do pacote e o CEP e, se corresponderem a uma entrada válida no banco de dados, poderão visualizar os detalhes da remessa.

índice

  1. Acesso aos detalhes do destinatário
  2. correção e impacto

Acesso aos detalhes do destinatário

Pesquisadores da Pen Test Partners exploraram o sistema e descobriram que podiam testar códigos de pacotes em chamadas de API e recuperar endereços do OpenStreetMap com a localização do destinatário no mapa.

Chamada de API que retorna a localização do cliente
Fonte: PTP

Embora a chamada tenha retornado apenas uma captura de tela do mapa, na maioria dos casos é muito fácil derivar o CEP usando os nomes das ruas mostrados na imagem.

Ao possuir um código de pacote válido e o código postal correspondente, uma pessoa não autorizada pode acessar a página de rastreamento de outra pessoa que exibe informações de entrega.

Ver os detalhes de rastreamento do pacote de outra pessoa
Fonte: PTP

Com o token de sessão válido concedido, você pode visualizar os dados JSON subjacentes, incluindo o nome completo dessa pessoa, endereço de email, número de telefone celular e muito mais.

Acesso a detalhes personalizados
Fonte: PTP

correção e impacto

A Pen Test Partners descobriu o problema em 2 de setembro de 2021 e notificou imediatamente o DPD. A empresa avaliou o problema por um mês e finalmente corrigiu o problema em outubro de 2021.

Como tal, a vulnerabilidade de acesso à API permaneceu disponível para exploração por pelo menos um mês, mas a janela de oportunidade provavelmente seria muito maior.

Embora os pesquisadores tenham sido provavelmente os primeiros a descobrir isso, o cenário de abuso "silencioso" de longo prazo não pode ser descartado.

A maneira como esse ataque de API funcionou é aleatória, pois não é possível adivinhar números de pacotes para determinadas identidades, mas ainda seria útil nas mãos de agentes de phishing.

Conhecer os detalhes do status de entrega e os detalhes de contato correspondentes prepara o terreno para um ataque de phishing bem-sucedido.

Os provedores de serviços de entrega de pacotes foram o tipo de negócio mais imitado para campanhas de phishing no final de 2021, então esse já é um setor de nicho.

Entramos em contato com o grupo DPD para solicitar mais informações sobre a falha da API e seu possível impacto nos clientes, mas ainda não recebemos uma resposta da empresa.

  • Woah, o Google realmente lançou uma atualização do Pixel 6 a tempo
  • Como adicionar um prefixo ou sufixo a uma lista no Google Docs

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Como rastrear o DPD?

Para rastrear com o Ship24, vá para a página inicial e insira seu número de rastreamento DPD . Você pode inserir até 10 números de rastreamento DPD ao mesmo tempo e também rastrear números de diferentes serviços de correio. Pressione "Enter" e aguarde alguns segundos para obter os resultados.

Quem entrega DPD na Espanha?

Quem entrega os pacotes enviados pela DPD na Espanha ? Em Espanha , a SEUR é responsável pela recolha e entrega dos envios reservados à DPD .

O que é entrega DPD?

A DPD é um serviço de correio que oferece uma solução de entrega de encomendas 24 horas em todo o mundo, dedicada a fornecer um excelente atendimento ao cliente por meio de entrega porta a porta.

O que é DPD SEUR?

Grupo SEUR DPD

Como parte do DPDgroup, uma das maiores redes internacionais de transporte expresso que reúne as marcas DPD , Chronopost e SEUR , entrega em todo o mundo.

Ir arriba