Sfondo :
Molte compagnie di navigazione (come DHL, UPS, servizi postali nazionali, ecc.) Permetteranno al destinatario di un pacchetto di tenere traccia del proprio pacco online e spesso visualizzeranno l'indirizzo a cui è stato consegnato il pacco prima che sia stato consegnato, e / o la "prova di consegna" con l'indirizzo di dove è stato consegnato e chi ha firmato per il pacchetto. Tuttavia, questo presenta pubblicamente le informazioni di consegna per ogni pacchetto e un utente malintenzionato deve semplicemente analizzare tali dati.
Domande :
È considerato pericoloso? Sono stati segnalati / documentati "attacchi" ai caricatori o ai destinatari effettuati sfruttando le informazioni di consegna presentate dai corrieri?
Possibile attacco :
Questo pensiero è venuto alla mia attenzione a causa di un articolo su come 4.500 acquirenti di marijuana hanno rubato i loro indirizzi . Fondamentalmente, le persone hanno acquistato marijuana legalmente online da un sito web del governo canadese (Ontario Cannabis Store, o OCS), ma un hacker è stato in grado di utilizzare uno "strumento di tracciamento" del Canada Post per ottenere le informazioni sulla consegna di tali spedizioni. Non spiega come l'ha attaccato, ma non è difficile trovare almeno un metodo possibile:
Canada Post (e molti altri corrieri di tutto il mondo) consentono a un mittente di fornire un "numero di riferimento" con le sue spedizioni, che molti caricatori usano come luogo per memorizzare un identificatore, come il numero dell'ordine, per la spedizione . Sia il mittente che il destinatario possono utilizzare questo numero di riferimento per il tracciamento, anziché utilizzare il numero di tracciabilità generato dalla compagnia di navigazione. Quindi, cosa può aver fatto questo aggressore, è stato ricevuto un pacchetto da OCS, preso nota del numero di riferimento e trovato un modello (ad es. "OCS" seguito da 6 cifre), quindi forzato lo strumento di tracciamento del Canada Post per cercare di trovare un gruppo di pacchetti che corrispondono (ancora più facile da fare se il numero di riferimento fosse un numero di ordine incrementale). Da lì, sono stati in grado di ottenere l'indirizzo di consegna e la firma dei destinatari della marijuana.
Questo particolare attacco era una violazione della privacy , ma non è difficile vederlo usato per cose come spionaggio aziendale (se riesci a capire i modelli dei numeri di riferimento del tuo concorrente, puoi iniziare a monitorare le loro spedizioni e osservare chi sono i loro clienti) o persino theft . Ad esempio, se vivi in una grande città, puoi trovare un modello numerico di riferimento per un grande rivenditore (ad esempio, da un centro di distribuzione Amazon) e monitorare tutte le loro spedizioni. Una volta trovata una spedizione destinata alla tua città, devi solo monitorare il tracciamento per vedere se è finito in un posto "sicuro" (ad esempio "dalla porta laterale"), o se è stato firmato da un essere umano .. . E se non è stato firmato da un essere umano, l'attaccante ha un indirizzo da cui possono semplicemente rubare il pacchetto.
Potresti, naturalmente, fare molte altre cose, come reindirizzare un pacchetto a un indirizzo diverso (molte aziende richiedono solo il numero di tracciamento e la verifica dell'indirizzo di destinazione originale, che può essere raccolto dal tracciamento), o essere utilizzato per raccogliere informazioni per l'ingegneria sociale. Ma non sto cercando di creare una lista esaustiva; Fondamentalmente sto solo chiedendo se questo è visto come un vettore di attacco da parte di qualsiasi industria (compagnie di navigazione o pen-testers), e / o se è comunemente mirato. La visualizzazione dell'indirizzo di destinazione e / o della "prova di consegna" sembra essere lo standard del settore, e non so se si tratta semplicemente di un caso di "comodità dell'utente" che superi il rischio potenziale, o se le aziende semplicemente non lo considerino pericoloso presentare queste informazioni pubblicamente.