Ошибка веб-сайта Verizon предоставленный доступ к метаданным мобильного телефона

verizon

Исследователь выпустил подробные данные дефекта Веб-сайта, который, возможно, позволил любому с браузером получать доступ к метаданным деятельности обмена сообщениями мобильных клиентов Verizon.Простая уязвимость Веб-сайта, возможно, позволила любому использовать браузер для рассмотрения записей обмена сообщениями мобильного телефона подписчика Verizon Wireless только, зная номер сотового телефона цели.Дефект Веб-сайта, который был обнаружен 7 августа и фиксирован к середине сентября, позволил любому использовать функцию данных экспорта на сайте Verizon Wireless для загрузки электронной таблицы подробными данными сообщения для любого подписчика, номер мобильного телефона которого был известен, согласно отчету, отправленному к Pastebin Коди Коллир, исследователем в области безопасности, который нашел дефект.

В то время как никакое содержимое сообщения не было пропущено, метод, возможно, использовался для сбора данных и время, которое было отправлено сообщение и с кем связались.«Без взаимодействия с пользователем все, что требовалось, было номером телефона подписчика», записал он. «После изменения переменной в URL [браузер] загрузил файл CSV, содержащий все подробные данные сообщения для требуемого числа».

С угольщиком нельзя было сразу связаться для этой статьи, поскольку с и его дескриптором Твиттера и Веб-сайтом, prvsec.com, нельзя было связаться. Однако 23 октября Verizon Wireless подтвердил, что уязвимость существовала.«Что я могу совместно использовать, то, что мы относимся к потребительской конфиденциальности серьезно, и наши команды решили проблему, как только мы были проинформированы», сказала Деби Льюис, представитель Verizon Wireless, в почтовом ответе на eWEEK.Нахождение проблем безопасности в Веб-сайтах является опасным бизнесом.

По закону любая эксплуатация уязвимостей на Веб-сайте для получения несанкционированного доступа к данным может быть преследована по суду как преступление. В 2005 сетевой специалист Эрик Маккарти нашел и раскрыл уязвимости в обслуживании онлайн-приложения для университета южной Калифорнии.Проблема, возможно, предоставила доступ к чувствительным подробным данным приблизительно 275 000 претендентов в университет. Федеральные обвинители стремились к расходам против Маккарти, и в 2006 он признал себя виновным в единственном убеждении уголовного преступления и был приговорен к шести месяцам под домашним арестом.

Позже, федеральный суд осудил хакера и интернет-плохого парня Эндрю Оернхеймера, также известного как «Веев», к 41 месяцу в тюрьме для использования очень похожего метода, имитируя iPad вместе с серией идентификационных номеров, для захвата 114 000 адресов электронной почты. Много судебных экспертов и специалистов по безопасности не согласились со случаем, критикуя юридический прецедент как создание недопустимого исследования безопасности.

Угольщик уведомил Verizon Wireless проблемы в августе и ожидал спустя больше чем месяц после того, как у него было подтверждение, что уязвимость была фиксирована перед получением огласку. Контакт с Verizon о дефекте безопасности был значительным подвигом, заявил он.«Процесс отчетности об уязвимости к Verizon Wireless чрезвычайно непрактичен», сообщил Угольщик в своем заявлении. «Страница, выделенная для помощи исследователям в отчетности об уязвимостях, не существует, и все электронные письма безопасности, которые я попытался [послать], пришли в норму».Угольщик наконец обратился к использованию LinkedIn для нахождения подходящего контакта безопасности в компании, заявил он.

Verizon Wireless теперь направляет всех исследователей для израсходования его набора адреса электронной почты для получения отчетов о злоупотреблении его сетью или Веб-сайтом, сказал Льюис Verizon.«Лучший способ сообщить о проблемах состоит в том, чтобы отправить сообщение на abuse@vzw.com», сказала она.


Портал хороших новостей