Maximum Games

Разработчик Майкл Линч случайно обнаружил серьёзную утечку персональных данных в системе возврата жёстких дисков GHD (goHardDrive). При проверке статуса RMA-заявки через сайт ghdwebapps.com, можно было получить данные любого клиента: ФИО, адрес, email, номер заказа, дату покупки и даже причину возврата. Всё, что нужно было — угадать RMA-номер в формате GHD12345. Авторизация не требовалась.

Ситуация усугублялась тем, что URL вроде https://ghdwebapps.com/rma/check?rmaNo=GHD12345&fromButton=1 работал напрямую — любой мог вручную или автоматически перебирать номера и собирать целую базу клиентов GHD. После обращения Линча, компания добавила проверку ZIP-кода и номера дома, но это не остановит целеустремлённых злоумышленников: всего 4.2 млн комбинаций на один номер, и одна успешная попытка может происходить каждые 3 секунды на арендованных серверах.

В результате GHD полностью отключила веб-доступ к статусу RMA и теперь предлагает запрашивать статус по email. За находку уязвимости компания не предложила баг-баунти, но сделала Линчу символическую компенсацию в $20 от суммы заказа $330. Потенциальные штрафы за подобные инциденты при этом могут достигать миллионов долларов.