Serwis internetowy Orange jest podatny na atak XSS – za pomocą specjalnie spreparowanego odnośnika można pozyskać nieautoryzowany dostęp do konta klienta.
Jeśli na link kliknie zalogowany w serwisie Orange użytkownik, atakujący uzyskuje dostęp do informacji o numerze telefonu ofiary i aktywowanych przez nią usługach.
Może też edytować profil konta, przeglądać historię wysyłanych i odbieranych ze strony smsów i mmsów, zmienić hasło dostępu (oraz pytanie pomocnicze), zapoznać się z kalendarzem, książką adresową i notatkami właściciela konta.
Orange został powiadomiony o wykrytych lukach.
