Orange On-Line dziurawy

Serwis internetowy Orange jest podatny na atak XSS – za pomocą specjalnie spreparowanego odnośnika można pozyskać nieautoryzowany dostęp do konta klienta.

Jeśli na link kliknie zalogowany w serwisie Orange użytkownik, atakujący uzyskuje dostęp do informacji o numerze telefonu ofiary i aktywowanych przez nią usługach.

Może też edytować profil konta, przeglądać historię wysyłanych i odbieranych ze strony smsów i mmsów, zmienić hasło dostępu (oraz pytanie pomocnicze), zapoznać się z kalendarzem, książką adresową i notatkami właściciela konta.

Orange został powiadomiony o wykrytych lukach.

Dodaj komentarz