07.12.2021 | Исследователь нашел способ подбора PIN-кодов клиентов Verizon |
Исследователь в области кибербезопасности Джозеф Харрис (Joseph Harris) обнаружил способ подбора PIN-кодов клиентов Verizon в интернете, потенциально получая возможность взломать учетные записи пользователей. Проблема заключалась в том, что web-сайт Verizon не ограничивал количество одновременных запросов на введение PIN-кода, и фиксировал только одну попытку. Многие сайты настроены блокировать подобные попытки угадать пароль после нескольких неправильных запросов. Однако в данном случае у хакеров могли быть неограниченные возможности. «Используя эту единственную страницу, я могу раскрыть любой номер учетной записи клиента Verizon, а также получить доступ к PIN-коду. Довольно серьезная ошибка», — пояснил эксперт изданию Motherboard. По словам Харриса, злоумышленник с помощью PIN-кода клиента может запросить смену SIM-карты. Атака под названием SIM-свопинг (подмена SIM-карты), позволяет хакеру перенаправлять текстовые сообщения себе с целью взлома других учетных записей. Злоумышленники также могли добавить новый номер телефона в учетную запись цели или прочитать текстовые сообщения пользователя. «Состояние гонки могло позволить мне получить контроль над учетной записью Verizon. Можно было просматривать сообщения на vtext.com», — добавил Харрис. Харрис загрузил на YouTube видеоролик с демонстрацией PoC-кода для эксплуатации уязвимости. Исследователь сообщил Verizon о проблеме, и компания отключила уязвимые страницы. |
Проверить безопасность сайта