Hack: Lollapalooza expoem dados de usuários [update]

UPDATE: os links originais no servidor do sistema de ingressos já foram removidos.

UPDATE 2: haters gonna hate.

Esta madrugada o @viniciuskmax divulgou falhas no sistema de vendas de ingressos do festival Lollapalooza. Não sei do que se tratam as falhas: alguma configuração de servidor ou algum exploit da versão 8.6 do Painel Plesk, mas aparentemente as falhas dão permissão de leitura / escrita nos arquivos do servidor.

Arquivos SVN - FutebolCard

Além do Plesk em uma versão antiga, acessando os dados das pastas .svn (porque diabos subir os pacotes de versionamento para produção?) Kmax percebeu que possivelmente o sistema é com código reaproveitado do FutebolCard.

Em uma parte do arquivo entries do SVN temos:

http://svn.outplan.com.br/usvn/svn/FutebolCard/branches/lollapalooza_novo/prod/site

Veja o arquivo completo do SVN aqui: https://ingressos.lollapalooza.com.br/prod/site/.svn/entries

E para os hackers que quiserem testar mais falhas de segurança, sabendo dos cuidados que a empresa que criou o sistema tem com segurança, esta página de clientes pode ser um banquete.

Dados dos compradores expostos

Com a possibilidade de escrever arquivos no servidor, foi possível fazer consultas no banco e expor dados dos compradores:

Lollapalooza hackeado

Veja a consulta completa aqui

 

Aparentemente qualquer chamado aberto no sistema de ingressos também foi apagado com outro script injetado no sistema.

Back to Top