看我如何获取200万份Verizon用户的月付账单信息

本文讲述了作者通过一个简单的安全漏洞，最终可以访问获取到Verizon无线公司将近200万份的用户月支付账单，账单中包含了用户姓名、家庭地址、手机号码、移动设备型号序列号以及用户签名等敏感信息。

Verizon无线公司（Verizon Wireless）是2000年Verizon公司与沃达丰通讯公司在美国的无线业务合并而成，前者持股55%，后者持股45%。Verizon Wireless原为美国第二大移动运营商，从Atlantis Holdings LLC手中收购Alltel后，Verizon Wireless移动用户数为8370万，超越AT&T Wireless成为美国移动通信新霸主。

漏洞发现

在对Verizon的测试过程中，经过一系列的探测侦查，我发现子域名telestore.verizonwireless.com有点意思，它用于Verizon无线公司内部员工访问销售终端（POS）工具并了解顾客相关信息的网站。利用Google查询语法，我在其网站上找到了一些Verizon员工内部使用的路径信息，然后想用dirsearch对相关目录进行一些暴力枚举。

此外，我还在上面发现了Verizon无线公司顾客月支付账单的PDF查看路径，但请求总是会返回一个404资源未找到的状态码，于是，我利用GET请求方式对其请求枚举，发现了其中涉及的一个a参数和m参数。之后，综合dirsearch的运行结果，我发现了一个奇怪的路径，经过简单构造，就可在该路径下使我们的会话有效。

绕过身份验证

也就是说，现在我们是通过验证的合法用户了，可以继续浏览访问一些telestore.verizonwireless.com上的原始路径了，但是当我向前浏览时，却被跳转到了一个包含特定手机号码和合同号的对应页面，而且该页面与Cookie或其它Session条件无关，以下就是该页面截图，尽管合同号（Agreement）下只包含一名用户，但它看似为一个客户订单管理系统：

虽然在当前页面下我们无法更改其中的合同号或手机号，但却可以点击合同号（Agreement Number），然后把它显示成之前我们说过的PDF格式，该PDF显示路径中就包含我们之前枚举出的a参数和m参数。这里的a参数，我首先想到的，它会不会是agreement的意思，所以我就想看看是否存在越权漏洞（IDOR），但之后我想应该不会存在这种问题吧，要不然怎么会存在两个参数呢，可能a参数必须与m参数匹配才行。

但是，之后的测试证明我的想法是错的，往往可导致大问题的一般都是一些低级愚蠢的小错误。真相是：仅仅只通过修改a参数，就能实现查看其它顾客合同账单的PDF文件档案，其中包括了以下的顾客相关个人信息：

顾客姓名 家庭地址 手机号码 手机型号、序列号 顾客签名

以下就是合同账单的PDF文件信息：

经进一步检查分析，我发现可以查看的合同号最小为1310000000，最大为1311999999，也就是说将近有200万顾客的月付账单可以通过上述方法被查看到，当然其中包括的顾客个人敏感信息也因此存在泄露风险！

漏洞上报处理进程

2019.6.16 通过Verizon企业安全响应团队VECIRT上报漏洞 2019.7.15 漏洞修复 2019.9.9 漏洞披露

*参考来源：daleys，clouds编译整理，转载请注明来自FreeBuf.COM