
Крупная американская телекоммуникационная компания AT&T устранила уязвимость собственного сайта, которая позволяла получить доступ в личный кабинет пользователя без пароля. Достаточно было знать номер телефона или почтовый индекс.
Уязвимость обнаружил исследователь Джозеф Харрис. Он продемонстрировал, как с ее помощью можно привязать аккаунт любого другого пользователя к своему собственному. После этого остается только изменить пароль захваченного аккаунта и установить над ним полный контроль.
Такая операция позволила бы злоумышленнику заменить SIM-карту пользователя, отменить заказанные услуги и изменить любые данные в личном кабинете. Он отметил, что бесконтрольная операция замены SIM-карты может представлять серьезную опасность в руках злоумышленника.
Представитель AT&T наличие проблемы подтвердил. Он отметил, что благодаря корпоративной программе bug bounty ее удалось оперативно обнаружить и устранить. Фактов, подтверждающих реальное использование этой бреши злоумышленниками, нет.
В базе клиентов AT&T содержится 81 миллион пользователей с постоплатой и 19 миллионов получателей услуг по предоплате. Харрис уточнил, что технически эксплойт уязвимости крайне прост в исполнении. Нужно зарегистрировать на ATT.com бесплатный профиль, перейти к опции «комбинировать аккаунты» и выбрать вариант «уже существующие аккаунты».
Введя номер телефона или индекс пользователя, злоумышленник увидит пользовательский ID жертвы и окно с запросом пароля. Далее хакер перехватывает ввод пароля пользователем и использует бекэнд сайта, чтобы установить полный контроль.
AT&T выплатила Джозефу Харрису 750 долларов по программе bug bounty. Размером вознаграждения тот остался недоволен, отмечая серьезность обнаруженной бреши. По словам этичного хакера, аналогичный баг у оператора сотовой связи Vodafone принес ему вознаграждение в 5 тысяч долларов.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.