25.05.2023 | AT&T устранила уязвимость, позволяющую захватывать чужие аккаунты |
Компания AT&T исправила уязвимость на своем сайте ATT.com, которая давала возможность любому злоумышленнику захватить чужой аккаунт, зная только номер телефона и почтовый индекс жертвы. Проблему обнаружил исследователь кибербезопасности Джозеф Харрис в начале этого года. Харрис нашел способ использовать функцию объединения аккаунтов для зловредных целей. Суть уязвимости заключалась в том, что хакер мог фактически объединить свой собственный аккаунт с любым другим, получив возможность изменить пароль от аккаунта жертвы и взять его под контроль. По словам Харриса, недостаток мог позволить злоумышленнику проводить SIM-свопинг ( SIM Swapping ), изменить любые данные жертвы, управлять услугами аккаунта и многое другое. Представитель AT&T подтвердил наличие проблемы и заявил, что уязвимость была оперативно исправлена через программу поощрения за обнаружение ошибок ( Bug Bounty ). Представитель также добавил, что нет доказательств того, что ошибка была эксплуатирована кем-то кроме исследователя. Как работает уязвимость После создания бесплатного профиля на ATT.com хакер мог перейти на вкладку «объединить аккаунты» и выбрать «уже зарегистрированные аккаунты». После ввода номера телефона и почтового индекса жертвы появлялся ее скрытый идентификатор пользователя и требовался пароль. Затем злоумышленник мог перехватить запрос пароля и использовать бэкенд сайта для перенаправления запроса пароля на свой аккаунт.
Вознаграждение от AT&T за обнаружение ошибки в размере $750 Харрису показалось недостаточным, учитывая серьезность проблемы, легкости эксплуатации и того факта, что AT&T является одной из крупнейших телекоммуникационных компаний в мире. AT&T не ответила на запросы о комментариях по поводу выплаты вознаграждения, но несколько ИБ-экспертов поддержали Харриса в том, что проблема стоила больше, чем ему заплатили. Среди экспертов был Роджер Граймс из KnowBe4. Он отметил, что подобные проблемы продолжают повторяться у крупнейших телеком-операторов – AT&T, T-Mobile и Verizon . Харрис привел в пример повторяющиеся объявления от всех трех крупнейших американских телеком-операторов о нарушениях безопасности за последние 5 лет как доказательство того, что SIM-свопинг все еще популярный метод атаки у киберпреступников. Харрис отметил, что, если бы реальный хакер или группировка использовали уязвимость, «возник бы массовый хаос». |
Проверить безопасность сайта