Instacart parchea un mistake de seguridad que habría permitido …



Los atacantes podrían haber explotado el problema para llevar a los compradores en línea a sitios website maliciosos o para que descarguen malware, dice Tenable.

El servicio de entrega de comestibles Instacart ha solucionado una falla de seguridad en su sitio world wide web que habría permitido a los atacantes enviar mensajes SMS que contienen enlaces maliciosos a cualquier número de teléfono móvil.

Un investigador de seguridad de Tenable Exploration descubrió la vulnerabilidad mientras usaba Instacart para comprar comida para perros recientemente y lo informó a la compañía el 28 de abril. El servicio de compras solucionó el problema el 1 de mayo, reduciendo el riesgo para los millones de usuarios que comenzaron a usar el servicio. en medio de reglas de distanciamiento social vinculadas a la pandemia COVID-19.

El problema tenía que ver con una función en el sitio world wide web de Instacart que está diseñada para que los usuarios descarguen la aplicación móvil de la compañía. Después de que los compradores han realizado un pedido en el sitio de Instacart, generalmente se los dirige a una página donde se les pide que ingresen sus números de teléfono móvil. Los usuarios que lo hacen reciben un enlace por SMS que pueden usar para descargar la aplicación móvil de Instacart.

Jimi Sebree, ingeniero de investigación de seguridad en Tenable, descubrió que cuando un usuario de Web proporciona un número de teléfono móvil, se envía una solicitud a un punto last «ask for_invite» en Instacart. La solicitud contiene parámetros como una identificación de tienda o almacén y una identificación de zona que identifica la ubicación regional de la tienda.

«La carga útil genuine de la solicitud incluye el número de teléfono ingresado en el campo, así como un enlace único para descargar la aplicación móvil Instacart», dijo Tenable en un comunicado. reporte sobre el tema hoy.

El investigador de seguridad encontró una debilidad en el punto remaining «request_invite» de Instacart que esencialmente les dio a los atacantes una forma de capturar la información del enlace de solicitud del usuario junto con los encabezados de seguridad asociados y la información de autenticación. Descubrió que los atacantes podían modificar el mensaje para enviar un mensaje SMS que contenía un enlace malicioso a cualquier número de teléfono de su elección. El destinatario recibiría un SMS no solicitado que parece ser de Instacart con un enlace para descargar supuestamente la aplicación móvil de la compañía.

Debido a que los atacantes podrían controlar el enlace que se envía a la víctima a través del mensaje SMS de Instacart, podrían engañar a los usuarios para que descarguen malware o aplicaciones no deseadas en sus dispositivos o dirigiéndolos a sitios internet de credenciales y robo de datos.

Sebree descubrió que la información en la solicitud de enlace era válida solo por un período de tiempo limitado. Entonces los atacantes habrían necesitado usar esa ventana para crear y enviar un SMS malicioso. También podrían simplemente haber cancelado un pedido y realizado un nuevo pedido para tener una nueva oportunidad de capturar otra solicitud.

«Cada solicitud apuntaría a un solo número de teléfono», dijo Sebree en comentarios a Darkish Reading through. Pero un atacante podría haber enviado teóricamente tantas solicitudes como hubiera deseado, siempre y cuando tuvieran una sesión válida con Instacart, dice.

«La advertencia aquí es que enviar demasiados mensajes permitiría a Instacart identificar potencialmente la cuenta maliciosa debido al aumento del tráfico», dijo.

Riesgos aumentados
A principios de este año, los investigadores de Examine Position Software package Technologies descubierto una vulnerabilidad casi idéntica en la well-liked plataforma de redes sociales TikTok para compartir video clips. Los investigadores de seguridad de la compañía descubrieron que, al igual que con Instacart, los atacantes básicamente podían enviar un mensaje SMS con un enlace malicioso a cualquier número de teléfono en nombre de TikTok. La vulnerabilidad fue una de varias que Check out Point descubrió dentro de la aplicación TikTok.

Para los usuarios de Net, tales vulnerabilidades son otro recordatorio de la necesidad de ser cautelosos al hacer clic en enlaces o abrir mensajes que no han sido solicitados o de personas o entidades con las que no han tenido contacto previo.

En las últimas semanas, los atacantes han estado atacando a los usuarios de World wide web con una variedad de phishing, compromiso de correo electrónico comercial y otras estafas que usan temas relacionados con la pandemia COVID-19. La mayoría ha involucrado intentos de lograr que los usuarios divulguen credenciales y otros datos confidenciales o distribuyan malware al atraerlos a sitios maliciosos que pretenden ofrecer información sobre COVID-19.

Las plataformas de colaboración como Microsoft Teams, Zoom y Slack se han convertido en grandes objetivos para los atacantes debido a la gran cantidad de personas que han comenzado a usarlos en estos días para trabajar desde casa. Hasta ahora, pocos informes han mostrado un mayor interés de los atacantes en los servicios de entrega de comestibles como Instacart, Shipt y otros, que también han visto un aumento masivo en el uso en las últimas semanas debido a la pandemia.

Aun así, los usuarios deben ser cautelosos.

«La conclusión principal de esto es ser diligente con los enlaces en los que hace clic. Las estafas de phishing prevalecen en todas las formas de comunicación», dijo Sebree. «Los consumidores deben tener cuidado al hacer clic en cosas que no solicitaron explícitamente o que no esperan».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia initial