Co możemy wiedzieć o klientach Orange

Czw, 2007-01-18 14:36 Tematy:

Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.

Serwis internetowy Orange podatny jest na atak XSS, w wyniku którego po kliknięciu zalogowanego użytkownika na spreparowany w mailu link można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:

  • konto email (wysyłanie, edycja, kasowanie wiadomości)
  • edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
  • historia wysłanych przez bramkę sms’ów i mms’ów
  • historia odebranych przez bramkę sms’ów i mms’ów
  • zmiany hasła do konta i pytania przypominającego hasło
  • foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
  • kalendarz
  • książka adresowej
  • notatki
    Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

    Firma Orange została poinformowana o istniejących błędach.

    Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją hacking.pl

    źródło: hacking.pl