Resumo
Relatório técnico descreve uma cadeia de três falhas no Cal.com Cloud que permitiu takeover de contas e leitura/remoção de bookings em larga escala; a plataforma lançou correções na versão 6.0.8.
Descoberta e escopo
Gecko Security identificou, via análise assistida por IA ao código, um conjunto de três vulnerabilidades interligadas na infraestrutura de signup e nas APIs de booking do Cal.com Cloud que, quando exploradas em sequência, permitiam a tomada completa de contas de usuários e o acesso a históricos de agendamento armazenados na plataforma. A matéria relata que “milhões” de bookings ficaram expostos devido ao problema.
Como o ataque funcionava
O vetor de ataque mais crítico era um bypass na autenticação ligado a tokens de convite de organização. Um fluxo inadequado de validação de nome de usuário permitia que um atacante se inscrevesse usando o e‑mail da vítima a partir de um link de convite organizacional. A validação procurava usuários apenas dentro da organização do atacante, ignorando contas existentes em outras organizações; operação de banco de dados subsequente sobrescrevia senhas globais do usuário, permitindo que o invasor definisse uma nova credencial e tomasse a conta sem notificação ao dono legítimo.
Exposição de bookings
Além do takeover, endpoints com Insecure Direct Object Reference (IDOR) permitiam que qualquer usuário autenticado listasse, lesse e excluísse bookings de todo o sistema. Esses problemas foram mitigados pela equipe do Cal.com que bloqueou acesso direto a rotas internas e adicionou checagens de existência de usuário antes do fluxo de signup.
Mitigação e status
- Correção disponibilizada: Cal.com release 6.0.8 com validações adicionais de existência de usuário antes de completar signup via convite.
- Proteções aplicadas para impedir acesso direto a handlers internos usados por endpoints de booking.
Implicações operacionais
Para provedores de SaaS e equipes de segurança de clientes, o incidente ilustra riscos associados a fluxos de onboarding e endpoints administrativos expostos. Recomendações práticas incluem revisão de validações de signup, rate limiting e monitoramento de criação/alteração de credenciais, alertas de senha alterada e verificação de autorização em todos os endpoints que retornam dados de usuários ou organizacionais.
Limitações das informações públicas
A reportagem descreve o vetor técnico e a correção aplicada, mas não publica um número exato de contas afetadas nem indica se houve abuso em produção antes da correção. Também não há menção a notificações individuais de usuários ou a envolvimento de autoridades regulatórias.
Fonte: Cyber Security News (reportagem baseada em análise da Gecko Security)