Fondo :
Muchas compañías de envío (como DHL, UPS, servicios postales nacionales, etc.) permitirán que el destinatario de un paquete rastree su paquete en línea y, a menudo, mostrará la dirección a la que se entrega el paquete antes de que se haya entregado, y / o la "prueba de entrega" con la dirección donde se envió y quién firmó el paquete. Sin embargo, esto presenta públicamente la información de entrega de cada paquete, y un atacante simplemente necesita raspar esos datos.
Preguntas :
¿Se considera esto peligroso? ¿Se han producido "ataques" informados / documentados a los remitentes o destinatarios mediante la explotación de la información de entrega presentada por los mensajeros?
Posible ataque :
Este pensamiento me llamó la atención debido a un artículo sobre cómo A 4,500 compradores de marihuana les robaron sus direcciones . Básicamente, la gente compró marihuana legalmente en línea desde un sitio web del gobierno canadiense (Ontario Cannabis Store o OCS), pero un atacante pudo usar una "herramienta de rastreo" de Canada Post para obtener la información de entrega de esos envíos. No explica cómo lo hizo el atacante, pero no es difícil encontrar al menos un método posible:
Canada Post (y muchas otras empresas de mensajería de todo el mundo) permiten que un remitente proporcione un "número de referencia" con sus envíos, que muchos remitentes utilizan como lugar para almacenar un identificador, como el número de pedido, para el envío . Tanto el remitente como el destinatario pueden usar este número de referencia para el seguimiento, en lugar de utilizar el número de seguimiento generado por la empresa de envío. Entonces, lo que este atacante pudo haber hecho, recibió un paquete de OCS, anotó el número de referencia y descubrió un patrón (por ejemplo, "OCS" seguido de 6 dígitos), luego Brute forzó a la herramienta de seguimiento de Canada Post para tratar de encontrar un montón de paquetes que coinciden (incluso más fácil de hacer si el número de referencia era un número de pedido en aumento). Desde allí, pudieron obtener la dirección de entrega y la firma de los destinatarios de marihuana.
Este ataque en particular fue una violación de la privacidad , pero no es difícil ver que se use para cosas como espionaje corporativo (si puede averiguar los patrones de números de referencia de su competidor, puede comenzar a monitorear sus envíos y observar quiénes son sus clientes), o incluso robo . Por ejemplo, si vive en una ciudad grande, puede encontrar un patrón de número de referencia para un gran minorista (por ejemplo, de un centro de distribución de Amazon) y controlar todos sus envíos. Una vez que encuentre un envío destinado a su ciudad, simplemente supervise el seguimiento para ver si terminó dejándolo en un lugar "seguro" (por ejemplo, "por la puerta lateral"), o si fue firmado por un humano ... . Y si no fue firmado por un humano, el atacante tiene una dirección de la que puede robar el paquete.
Por supuesto, podría hacer muchas otras cosas, como redirigir un paquete a una dirección diferente (muchas empresas solo requieren el número de seguimiento y la verificación de la dirección de destino original, que puede obtenerse del seguimiento), o pueden utilizarse para Recopilación de información para ingeniería social. Pero no estoy tratando de crear una lista exhaustiva; Básicamente, solo estoy preguntando si esto es visto como un vector de ataque por parte de cualquier industria (compañías de envío o evaluadores de bolígrafos), y / o si es un objetivo común. Mostrar la dirección de destino y / o la "prueba de entrega" parece ser un estándar de la industria, y no sé si esto es simplemente un caso de "conveniencia para el usuario" que supera el riesgo potencial, o si las empresas simplemente no lo consideran Es peligroso presentar esta información públicamente.