System internetowy Orange jest podatny na atak
Serwis internetowy Orange podatny jest na atak, w wyniku którego można przechwycić dane i nieautoryzowany dostęp do konta klienta.
Podał za serwisem hacking.pl portal Onet.pl.
Firma Orange – jeden z operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu "Orange On-Line". System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podatny jest na atak XSS, w wyniku którego po kliknięciu zalogowanego użytkownika na spreparowany w mailu link można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
- konto email (wysyłanie, edycja, kasowanie wiadomości)
- edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
- historia wysłanych przez bramkę sms'ów i mms'ów
- historia odebranych przez bramkę sms'ów i mms'ów
- zmiany hasła do konta i pytania przypominającego hasło
- foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
- kalendarz
- książka adresowej
- notatki
Dodatkowo, wchodząc na stronę "Orange On-Line" możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.
Firma Orange została poinformowana o istniejących błędach - pisze Rafał Pawlak z serwisu hacking.pl.
Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją serwisu hacking.pl.
Co na to Orange?
"Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box.
W wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma.
Trwają obecnie prace nad usunięciem wykrytych nieprawidłowości. Błąd zostanie usunięty jeszcze w dniu dzisiejszym" - pisze w przesłanym Onet.pl oświadczeniu Marcin Gruszka, przedstawiciel Orange.
Gruszka w swoim liście podziękował redakcji hacking.pl, która zauważyła błędy w zabezpieczeniach.
Dołącz do dyskusji: System internetowy Orange jest podatny na atak