Новости AT&T устранила уязвимость, позволяющую захватывать чужие аккаунты

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Для получения полного контроля над аккаунтом достаточно знать номер телефона и почтовый индекс жертвы.


1bef1rd3c00h2jhl7aha7hozos8tja95.jpg


Компания AT&T исправила уязвимость на своем сайте ATT.com, которая давала возможность любому злоумышленнику захватить чужой аккаунт, зная только номер телефона и почтовый индекс жертвы.

Проблему обнаружил исследователь кибербезопасности Джозеф Харрис в начале этого года. Харрис нашел способ использовать функцию объединения аккаунтов для зловредных целей. Суть уязвимости заключалась в том, что хакер мог фактически объединить свой собственный аккаунт с любым другим, получив возможность изменить пароль от аккаунта жертвы и взять его под контроль.

По словам Харриса, недостаток мог позволить злоумышленнику проводить SIM-свопинг ( SIM Swapping ), изменить любые данные жертвы, управлять услугами аккаунта и многое другое.

Представитель AT&T подтвердил наличие проблемы и заявил, что уязвимость была оперативно исправлена через программу поощрения за обнаружение ошибок ( Bug Bounty ). Представитель также добавил, что нет доказательств того, что ошибка была эксплуатирована кем-то кроме исследователя.

<span style="font-size: 12pt;">Как работает уязвимость</span>

После создания бесплатного профиля на ATT.com хакер мог перейти на вкладку «объединить аккаунты» и выбрать «уже зарегистрированные аккаунты». После ввода номера телефона и почтового индекса жертвы появлялся ее скрытый идентификатор пользователя и требовался пароль. Затем злоумышленник мог перехватить запрос пароля и использовать бэкенд сайта для перенаправления запроса пароля на свой аккаунт.

<iframe width="640" height="360" src="
" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" title="AT&T Logic Flaw leads to Account Takeover"> </iframe>

Вознаграждение от AT&T за обнаружение ошибки в размере $750 Харрису показалось недостаточным, учитывая серьезность проблемы, легкости эксплуатации и того факта, что AT&T является одной из крупнейших телекоммуникационных компаний в мире.

AT&T не ответила на запросы о комментариях по поводу выплаты вознаграждения, но несколько ИБ-экспертов поддержали Харриса в том, что проблема стоила больше, чем ему заплатили. Среди экспертов был Роджер Граймс из KnowBe4. Он отметил, что подобные проблемы продолжают повторяться у крупнейших телеком-операторов – AT&T, T-Mobile и Verizon .

Харрис привел в пример повторяющиеся объявления от всех трех крупнейших американских телеком-операторов о нарушениях безопасности за последние 5 лет как доказательство того, что SIM-свопинг все еще популярный метод атаки у киберпреступников. Харрис отметил, что, если бы реальный хакер или группировка использовали уязвимость, «возник бы массовый хаос».
 
Источник новости
www.securitylab.ru

Похожие темы