![Чтобы войти в личный кабинет, было достаточно знать номер телефона или почтовый индекс пользователя Уязвимость на сайте AT&T давала доступ к личному кабинету пользователя всем желающим](/upload/resize_cache/iblock/5d1/847_360_2/3rysj7z29amcknxglop46vime2f5hq6f.jpg)
Крупная американская телекоммуникационная компания AT&T устранила уязвимость собственного сайта, которая позволяла получить доступ в личный кабинет пользователя без пароля. Достаточно было знать номер телефона или почтовый индекс.
Уязвимость обнаружил исследователь Джозеф Харрис. Он продемонстрировал, как с ее помощью можно привязать аккаунт любого другого пользователя к своему собственному. После этого остается только изменить пароль захваченного аккаунта и установить над ним полный контроль.
Такая операция позволила бы злоумышленнику заменить SIM-карту пользователя, отменить заказанные услуги и изменить любые данные в личном кабинете. Он отметил, что бесконтрольная операция замены SIM-карты может представлять серьезную опасность в руках злоумышленника.
Представитель AT&T наличие проблемы подтвердил. Он отметил, что благодаря корпоративной программе bug bounty ее удалось оперативно обнаружить и устранить. Фактов, подтверждающих реальное использование этой бреши злоумышленниками, нет.
В базе клиентов AT&T содержится 81 миллион пользователей с постоплатой и 19 миллионов получателей услуг по предоплате. Харрис уточнил, что технически эксплойт уязвимости крайне прост в исполнении. Нужно зарегистрировать на ATT.com бесплатный профиль, перейти к опции «комбинировать аккаунты» и выбрать вариант «уже существующие аккаунты».
Введя номер телефона или индекс пользователя, злоумышленник увидит пользовательский ID жертвы и окно с запросом пароля. Далее хакер перехватывает ввод пароля пользователем и использует бекэнд сайта, чтобы установить полный контроль.
AT&T выплатила Джозефу Харрису 750 долларов по программе bug bounty. Размером вознаграждения тот остался недоволен, отмечая серьезность обнаруженной бреши. По словам этичного хакера, аналогичный баг у оператора сотовой связи Vodafone принес ему вознаграждение в 5 тысяч долларов.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.