Vulnerabilidad en Tabit (CVE-2022-34770)

Tabit - divulgación de información confidencial. Varias API del sistema web muestran, sin autorización, información confidencial como estados de salud, facturas anteriores en un determinado restaurante, consumo de alcohol y hábitos de fumar. Cada una de las APIs descritas, presenta en su URL uno o más ID de MongoDB que no es tan sencillo de enumerar. Sin embargo, cada una de ellas recibe una "pequeña URL" en el dominio de Tabit, en forma de https://tbit.be/{sufijo} siendo el sufijo una cadena de 5 caracteres que contiene números, letras minúsculas y mayúsculas. No es tan sencillo enumerarlas todas, pero sí encontrar algunas que funcionen y conlleven a un endpoint personal. Esto es tanto un ejemplo de OWASP: API4 - limitación de la tasa y OWASP: API1 - Autorización a nivel de objeto rota. Además, la URL de redireccionamiento divulgó los IDs de MongoDB comentados anteriormente, y podríamos usarlos para consultar otros endpoints divulgando más información personal. Por ejemplo: La URL https://tabitisrael.co.il/online-reservations/health-statement?orgId={org_id}&healthStatementId={health_statement_id} es usada para invitar a amigos a rellenar una declaración de salud antes de asistir al restaurante. Podemos usar el health_statement_id para acceder a la API https://tgm-api.tabit.cloud/health-statement/{health_statement_id} API que divulga la información médica y el número de identificación.