Seguridad

El evento TLP expone los documentos y autorizaciones de los participantes menores

El evento TLP expone los documentos y autorizaciones de los participantes menores

TLP es un evento tecnológico y gaming realizado en la isla de Tenerife y organizado por la asociación Innova7, en el cual cada año se reúnen más de 2000 participantes, claramente todo el proceso de adquisición de las entradas se realiza por sus paginas webs. Ademas los menores de 18 años y mayores de 16 para poder asistir al evento necesitaran rellenar una autorización con datos como DNIs, nombres y numero de teléfono del tutor del menor y del menor, ademas, hay que aportar fotocopias del DNI de ambos y el libro de familia. Toda esta documentación se subirá a su pagina web.

El user ID

Ejemplo de perfil de usuario de la TLP

La pagina en donde se encuentra el perfil del usuario, pone debajo del nombre, sin ningún tipo de aclaración de que es, un ID formado por 5 dígitos alfanuméricos en mayúsculas. Este se genera aleatoriamente al registrar la cuenta y hay un total de 60.466.176 IDs posibles.

Competiciones TLP, el Plug-in todo en uno.

Tanto este perfil como el proceso de subida de la documentación parece ser gestionado por un plugin de wordpress creado por la propia organizadora del evento, el cual se llama CompeticionesTLP. Este también se usa para administrar las competiciones y tablones de anuncios del evento, resulta ser la "navaja suiza" de Innova7 para gestionar el evento.

La exposición

En conclusión, este plugin de mala manera guarda toda la documentación subida al infame directorio de contenido de wordpress, el cual no tiene ningún sistema de protección de datos a excepción de los permisos de ficheros del propio sistema operativo, en donde ya se han visto otros casos de errores de configuración que permitieron el indexado de datos sensibles(copias de seguridad) de varios sitios hechos en wordpress.

En este caso, la TLP ha configurado los directorios para evitar conocer los archivos de estos, pero igualmente guarda toda la documentación, accesible sin necesidad de autenticación, con el siguiente formato de URL:

  • https://mi.tlp.world/wp-content/plugins/competicionestlp/auto_menores_tlp/auto_menor_XXXXX.YYY
    (Autorización)
  • https://mi.tlp.world/wp-content/plugins/competicionestlp/auto_menores_tlp/doc_padre_XXXXX.YYY
    (DNI/NIE/Pasaporte del tutor)
  • https://mi.tlp.world/wp-content/plugins/competicionestlp/auto_menores_tlp/doc_menor_XXXXX.YYY
    (DNI/NIE/Pasaporte del menor)

Siendo XXXXX el User ID del usuario y YYY el formato de archivo, tratándose de fotocopias los más comunes son .JPG, .PDF y .PNG.

Destacar también que esta URL es accesible para cada usuario menor y que en caso de acceso quedaría guardada en su historial, este en la mayoría de navegadores es fácilmente accesible por complementos, etc.

La posibilidad de filtración

Sabiendo el numero total de User IDs posibles y los formatos más comunes de los documentos, un atacante debería realizar cerca de 544.195.584 peticiones a la web, sabiendo que la pagina tiene apache 2.4.7 y suponiendo que tienen un modulo anti-DDOS en configuración estándar (50 peticiones/segundo), el atacante tardaría 3.08.629 días (845 años) en extraer toda la documentación posible, lo cual no resulta muy viable.
Pero si se focaliza en un objetivo más concreto, por ejemplo los DNIs de menores en formato JPG, el tiempo bajaría a 14 días. Mientras que si la pagina no dispone de medidas anti-DDOS o se burlan (proxys, etc.) y los servidores soportan 3000 peticiones/segundo se extraerían toda en 2 días y un objetivo especifico en 6 horas.

Por otro lado, debido al poco conocimiento que tienen los usuarios sobre el User ID, resultaría fácil un ataque de ingeniería social para conseguirlo y posteriormente acceder a la documentación.

La respuesta de INNOVA7

Ante esto, en un primer momento, la organización corrigio el error poniendo un hash de más de 65 digitos en vez de auto_menor_, doc_padre_ o doc_menor_ en los archivos subidos. Aunque estos seguian siendo accecibles sin la necesidad de tener una sesión iniciada. Aún así seria mucho más difícil que un atacante externo pudiera automatizar el proceso y sacar los hash más fácilmente. Actualmente, ha cambiado todo el sistema, el cual solo devolvera el archivo correspondiente a la sesion del participante.

Toda esta información se hace pública después de haber contactado previamente con la TLP y desde su respuesta pasaron más de 72h que marca la GDPR. Actualmente el fallo de seguridad se encuentra arreglado.

Actualización: Comunicado Oficial de la TLP de Tenerife

Junio 2018
Buenas tardes,

Os mandamos este mensaje porque lamentablemente, hemos tenido una brecha de seguridad en nuestra página web, que no ha tenido consecuencias y que ha sido solventada inmediatamente. Os explicamos: como ya sabréis, para acceder a la zona TLP LAN Party, los participantes tienen que subir documentos a su perfil.

Dichos archivos se encontraban en un directorio común, cuya URL variaba para cada usuario dependiendo de su ID (XXXXX). El problema residía en que si una persona externa conocía la URL utilizada para el guardado de los documentos y el ID del usuario en concreto, podría haber accedido a ellos, algo que nuestro el departamento de web ha comprobado que no sucedió.

Hemos estado trabajando en ello para asegurarnos de que la brecha de seguridad se cerrara. Actualmente, el directorio varía para cada usuario dependiendo de un hash para cada URL y toda la información está restringida, por lo que únicamente los participantes a los que pertenecen los documentos podrían acceder a ellos (dada la labor de mantenimiento, temporalmente nadie podrá acceder a sus archivos)

Es importante que tengáis en cuenta que no hemos recibido ningún tipo de ataque que haya comprometido vuestros datos, dado que nos llegó una notificación anónima, y que en este momento vuestros documentos se encuentran seguros y no son accesibles.

No obstante, queremos que todos estéis al tanto de lo ocurrido y queremos aprovechar para disculparnos personalmente por el fallo.

Os dejamos una serie de preguntas que podéis haceros, pero en cualquier caso podéis plantearnos cualquier de vuestras dudas a través de esta dirección de correo electrónico: dpo@innova7.org

¿Qué ocurre después de este error?

¿Alguien ha visto mis datos?

No, no hemos tenido ningún ataque ni robo de información, por lo que vuestra documentación se encuentra segura. Hemos comprobado que no hubo ninguna filtración.

¿Actualmente una persona externa puede acceder a mi perfil?

No, actualmente nadie puede acceder a ninguna de la documentación subida, ni siquiera los usuarios de la misma. Posteriormente, solo podrán acceder los propietarios de dichos datos.

¿El fallo de seguridad está arreglado?

Sí, hemos tomado nota y la brecha de seguridad ya no existe.

Un saludo,
El equipo de TLP Tenerife

0 Comentarios 0 Comentarios
0 Comentarios 0 Comentarios