Uma falha sobre a API da DPD Group, empresa de transportes com várias filiais distribuídas a nível mundial – incluindo em Portugal – poderá ter permitido aceder a dados sensíveis dos clientes da mesma.
Como muitas empresas de transportes, a DPD permite que os utilizadores possam seguir as suas encomendas via tracking, com um código único que é fornecido para os mesmos e que pode ser usado nos sistemas da entidade ou via API em sites de terceiros.
No entanto, investigadores da Pen Test Partners afirmam ter descoberto uma falha sobre a API da plataforma, que indevidamente pode ter permitido a qualquer pessoa aceder a dados pessoais dos clientes da empresa e até mesmo a localização das encomendas.
A falha permitia que fosse possível recolher os mapas da OpenStreetMap, usados pela plataforma para o tracking das parcelas enviadas pela empresa, e da localização quase em tempo real da localização dos diferentes pacotes enviados pelo serviço.
O sistema de tracking da DPD, para validação da identidade, exige que os utilizadores coloquem os seus códigos postais no formulário de tracking. No entanto, com a exploração da falha sobre o mapa do OpenStreetMap, é possível a atacantes obterem praticamente a localização exata das encomendas, e consequentemente, o código postal dos clientes finais.
Com este, os atacantes podem explorar o sistema para aceder a dados privados que são colocados no tracking de encomendas, o que inclui o nome, morada completa e número de telefone dos mesmos.
A falha terá sido notificada pelos investigadores a 2 de Setembro de 2021, sendo que a DPD lançou a correção cerca de um mês depois, a Outubro de 2021. Ainda se desconhece se a falha terá sido explorada para atividades maliciosas durante o período em que esteve acessível.
Em comunicado, a DPD afirma que "Este tema relaciona-se com uma situação ocorrida a 30 de setembro de 2021 na DPD UK, que foi abordada pela entidade Pen Test Partners, a qual identificou uma potencial vulnerabilidade numa API de expedição da empresa. A DPD UK verificou a situação para garantir que esta fosse uma questão solitária, o que de facto era, e corrigiu a mesma em 5 dias. Nenhum ataque ou ameaça foi identificado, e a DPD UK confirmou que nenhum dado havia sido comprometido."
Nenhum comentário
Seja o primeiro!