Уязвимость на сайте AT&T давала доступ к личному кабинету пользователя всем желающим

Крупная американская телекоммуникационная компания AT&T устранила уязвимость собственного сайта, которая позволяла получить доступ в личный кабинет пользователя без пароля. Достаточно было знать номер телефона или почтовый индекс.

Уязвимость обнаружил исследователь Джозеф Харрис. Он продемонстрировал, как с ее помощью можно привязать аккаунт любого другого пользователя к своему собственному. После этого остается только изменить пароль захваченного аккаунта и установить над ним полный контроль.

Такая операция позволила бы злоумышленнику заменить SIM-карту пользователя, отменить заказанные услуги и изменить любые данные в личном кабинете. Он отметил, что бесконтрольная операция замены SIM-карты может представлять серьезную опасность в руках злоумышленника.

Представитель AT&T наличие проблемы подтвердил. Он отметил, что благодаря корпоративной программе bug bounty ее удалось оперативно обнаружить и устранить. Фактов, подтверждающих реальное использование этой бреши злоумышленниками, нет.

В базе клиентов AT&T содержится 81 миллион пользователей с постоплатой и 19 миллионов получателей услуг по предоплате. Харрис уточнил, что технически эксплойт уязвимости крайне прост в исполнении. Нужно зарегистрировать на ATT.com бесплатный профиль, перейти к опции «комбинировать аккаунты» и выбрать вариант «уже существующие аккаунты».

Введя номер телефона или индекс пользователя, злоумышленник увидит пользовательский ID жертвы и окно с запросом пароля. Далее хакер перехватывает ввод пароля пользователем и использует бекэнд сайта, чтобы установить полный контроль.

AT&T выплатила Джозефу Харрису 750 долларов по программе bug bounty. Размером вознаграждения тот остался недоволен, отмечая серьезность обнаруженной бреши. По словам этичного хакера, аналогичный баг у оператора сотовой связи Vodafone принес ему вознаграждение в 5 тысяч долларов.