- 18
- styczeń
Co możemy wiedzieć o klientach Orange
Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl.
Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
* konto email (wysyłanie, edycja, kasowanie wiadomości)
* edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
* historia wysłanych przez bramkę sms’ów i mms’ów
* historia odebranych przez bramkę sms’ów i mms’ów
* zmiany hasła do konta i pytania przypominającego hasło
* foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
* kalendarz
* książka adresowej
* notatki
Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.
Firma Orange została poinformowana o istniejących błędach.
Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją hacking.pl
źródło: Hacking
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
* konto email (wysyłanie, edycja, kasowanie wiadomości)
* edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
* historia wysłanych przez bramkę sms’ów i mms’ów
* historia odebranych przez bramkę sms’ów i mms’ów
* zmiany hasła do konta i pytania przypominającego hasło
* foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
* kalendarz
* książka adresowej
* notatki
Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.
Firma Orange została poinformowana o istniejących błędach.
Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją hacking.pl
źródło: Hacking
