DPD fournit une correction rapide pour les failles graves de l’API

La société de logistique DPD Group a corrigé une vulnérabilité potentiellement grave de l’interface de programmation d’applications (API) qui aurait pu permettre à tout utilisateur suffisamment féru de technologie d’obtenir des détails sur les packages d’autres personnes, ainsi que leurs données personnelles, en octobre 2021, a-t-on appris.

L’existence de la vulnérabilité a maintenant été révélée dans une divulgation publiée par les pirates éthiques Pen Test Partners, un cabinet de conseil en sécurité ayant des bureaux au Royaume-Uni et aux États-Unis, qui a découvert l’année dernière une grave faille affectant les utilisateurs de l’application mobile de Brewdog.

La vulnérabilité existait dans la façon dont DPD permet aux clients de suivre leurs colis pendant leur transit, à l’aide d’un code de colis unique. Lorsqu’un code de colis est transmis, l’appel d’API DPD dirige vers un extrait OpenStreetMap mettant en évidence l’adresse de destination. Cela pourrait alors être facilement utilisé pour identifier un code postal. Avec ces deux informations, un attaquant déterminé aurait pu en théorie utiliser le jeton de session résultant pour afficher le JSON sous-jacent, lui donnant accès aux informations personnellement identifiables (PII) du destinataire, de manière significative, à ses coordonnées.

Le pirate informatique de Pen Test Partners a utilisé le bureau de l’entreprise dans le Buckinghamshire comme exemple, mais a également testé plusieurs codes de colis différents avec la permission du destinataire et, dans chaque cas, a déclaré qu’il avait réussi à localiser les données.

La chaîne d’événements détaillée par Pen Test Partners repose sur un ensemble très spécifique de circonstances qui se déroulent, il est donc peu probable que quiconque a eu des colis livrés via DPD ait vu ses détails compromis de cette manière. Néanmoins, le fait technique de l’exposition des données est important.

Pen Test Partners a déclaré qu’après avoir été contacté, DPD a répondu immédiatement par les canaux appropriés et a corrigé la vulnérabilité en une semaine. Le cabinet a également demandé un délai de divulgation jusqu’à présent afin d’enquêter de manière plus approfondie, d’examiner et de sécuriser son environnement.

Le pirate informatique derrière la divulgation a écrit: « L’expérience de divulgation a été très positive, ce qui a apporté un changement rafraîchissant! Travailler avec DPD Group sur cette divulgation a été facile, clair et sans entraves politiques. Ils ont un excellent programme de divulgation des vulnérabilités et ont corrigé les choses rapidement. Sérieusement impressionné.

Jamie Akhtar de Cybersmart a déclaré que la mise en garde illustrait l’importance de mener des exercices réguliers de tests d’intrusion, et en réagissant ouvertement et rapidement, DPD a peut-être évité le pire des scénarios.

« Les entreprises de colis sont [some] des plus imités par les cybercriminels pour les escroqueries par hameçonnage », a-t-il déclaré. « Cette situation aurait facilement pu conduire à une escroquerie réussie de l’ampleur de l’incident de Royal Mail l’année dernière. »

Trevor Morgan, chef de produit chez Comforte AG, a ajouté : « Vous pouvez essayer de brancher chaque point d’entrée et de sortie, mais les acteurs de la menace sont toujours à la recherche de la faille simple qui leur permettra d’accéder à vos données d’entreprise sensibles.

« Nous devons tous nous rappeler que les données sont leur cible, de sorte que l’organisation intelligente et proactive doit tenir compte du fait que les pirates informatiques trouvent un moyen d’entrer dans l’écosystème des données et mettent la main dessus. Inévitablement, ils peuvent et trouveront cette faille que vous avez négligée. »