Paulos Yibelo นักวิจัยด้านความปลอดภัยอิสระ และนักล่าบั๊ก ได้ร่วมกับ Website Planet ทำการทดสอบสร้างเว็บไซต์โดยใช้บริการโฮสติ้งของ Bluehost พบว่ามี 3 ช่องโหว่บนโฮสติ้ง
ในหน้า “About Us” Yibelo พบว่าหลายๆ บัญชีผู้ใช้แฮกเกอร์สามารถเข้ายึดครองได้ และมีช่องโหว่ทำให้ข้อมูลผู้ใช้รั่วไหลใน platform ทั้งนี้เนื่องมาจากการรับรองยืนยันการเปลี่ยนบัญชีผู้ใช้ไม่มีการตรวจสอบรหัสผ่าน
ช่องโหว่แรก เป็นช่องโหว่ที่ Yibelo ถือว่ามีปัญหาร้ายแรงที่สุดก็คือ การตั้งค่า cross-origin-resource-sharing (CORS-สิ่งที่ทำให้เว็บเพจสามารถเข้าถึงข้อมูลที่อยู่คนละโดเมนได้) ผิดพลาด เป็นผลทำให้เว็บไซต์ต่างๆ สามารถแชร์ทรัพยากรข้ามโดเมนกันได้
Yibelo กล่าวว่าใน Bluehost ฟังก์ชั่น CORS ไม่มีตัวกรองสิทธิ์การเข้าถึง ซึ่งแต่ละเว็บไซต์ควรจะอนุญาตให้เข้าถึงข้อมูลใดบนเว็บไซต์ของโฮสติ้ง Bluehost จากหลักการนี้เว็บไซต์ใดๆ ที่มีโดเมนใน Bluehost (https://my.bluehost.com/) จะอนุญาตให้เว็บไซต์อื่นที่มีโดเมนใน Bluehost สามารถอ่านเนื้อหาของเว็บนั้นได้
Yibelo ได้ทำการทดสอบโดยส่งคำขอจากโดเมนที่ชื่อ “https://my.bluehost.com.EVIL.com” ไปยังโฮสติ้ง Bluehost จะเช็คเฉพาะสตริงตัวแรก ซึ่งก็คือ “https://my.bluehost.com” โดยไม่สนใจสิ่งที่อยู่หลัง bluehost.com เลย แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เรียก subdomain “my.bluehost.com.EVILWEBSITE.com” ด้วยสิทธิ์ที่ถูกต้องตามกฎของ Bluehost และอนุญาตให้ EVILWEBSITE.com อ่านข้อความในเว็บไซต์นั้นได้
ในการทดสอบของ Yibelo ยังสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ (PII) ได้อีกด้วย เช่น ชื่อ, ที่อยู่ และเบอร์โทรศัพท์ รวมไปถึงรายละเอียดการชำระเงิน, เดือนและปีที่หมดอายุ, เลข 4 หลักสุดท้ายของบัตร, ชื่อที่ใช้บนบัตร, ชนิดของบัตร และวิธีการชำระเงิน นอกจากนี้ยังมี tokens ที่ใช้เพื่อเข้าถึงโฮสต์ WordPress, Mojo, SiteLock และ OAuth-supported endpoints ต่างๆ ของผู้ใช้อีกด้วย
ช่องโหว่ที่สอง ระดับความรุนแรงของช่องโหว่นี้อยู่ในระดับปานกลาง ช่องโหว่นี้จะอนุญาตให้สามารถเข้ายึดครองบัญชีผู้ใช้ได้ สาเหตุมาจากการตรวจสอบคำขอของ JavaScript Object Notation (JSON-เป็นรูปแบบของข้อมูลที่ใช้สำหรับแลกเปลี่ยนข้อมูลที่มีขนาดเล็ก ซึ่งคนสามารถทำความเข้าใจได้ง่ายสามารถสร้างและอ่านโดยเครื่องได้ง่าย ส่วนมากมักจะใช้ภาษา JavaScript) เปิดช่องให้แฮกเกอร์ทำการโจมตีแบบ Cross-site Request Forgery หรือ CSRF ได้ เมื่อผู้ใช้คลิกลิงค์ที่แฮกเกอร์สร้างขึ้น แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการเปลี่ยนแปลงที่อยู่อีเมลของผู้ใช้ใน Bluehost เป็นที่อยู่ทีแฮกเกอร์ต้องการได้ จากนั้นจะทำการรีเซ็ตรหัสผ่าน โดยให้ส่งรหัสผ่านใหม่ไปยังอีเมลที่ของแฮกเกอร์ ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของผู้ใช้ได้
ช่องโหว่ที่สาม ช่องโหว่นี้มีระดับความรุนแรงอยู่ในระดับสูง ช่องโหว่นี้จะอนุญาตให้แฮกเกอร์สามารถเข้ายึดครองบัญชีผู้ใช้ด้วยวิธีการ cross-site scripting (XSS) ช่องโหว่นี้เกิดจากการที่ Bluehost ไม่ต้องใส่รหัสผ่านที่ใช้งานอยู่ในปัจจุบัน เมื่อมีการเปลี่ยนแปลงที่อยู่อีเมล แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีแบบ CSRF โดยใช้วิธีการ cross-site scripting (XSS) เพื่อเข้ายึดครองบัญชีผู้ใช้ ซึ่งทาง Bluehost ไม่มีการกำหนดค่าการใช้งาน HttpOnly ในการเข้าถึงคุ้กกี้ที่สำคัญ ซึ่งหมายความว่า โค้ด JavaScript สามารถเข้าถึงได้ และสามารถข้อมูลทั้งหมดไปให้แฮกเกอร์ได้ แฮกเกอร์จะใช้ประโยชน์คุกกี้ที่ได้จากช่องโหว่นี้ด้วยสิทธิ์ของผู้ใช้ที่ถูกต้องได้
Yibelo ได้กล่าวเสริมอีกว่า นอกจากจะพบช่องโหว่นี้บนโฮสติ้ง Bluehost แล้ว ยังพบช่องโหว่ที่คล้ายคลึงกันบน platform ของโฮสติ้ง Dreamhost, HostGator, OVH และ iPage ด้วย
