Podał za serwisem hacking.pl portal Onet.pl.
Firma Orange – jeden z operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu "Orange On-Line". System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podatny jest na atak XSS, w wyniku którego po kliknięciu zalogowanego użytkownika na spreparowany w mailu link można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:- konto email (wysyłanie, edycja, kasowanie wiadomości)- edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.) - historia wysłanych przez bramkę sms'ów i mms'ów - historia odebranych przez bramkę sms'ów i mms'ów- zmiany hasła do konta i pytania przypominającego hasło - foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku - kalendarz - książka adresowej - notatki Dodatkowo, wchodząc na stronę "Orange On-Line" możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.
Firma Orange została poinformowana o istniejących błędach - pisze Rafał Pawlak z serwisu hacking.pl.
Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją serwisu hacking.pl.
Co na to Orange?
"Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box.
W wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma. Trwają obecnie prace nad usunięciem wykrytych nieprawidłowości. Błąd zostanie usunięty jeszcze w dniu dzisiejszym" - pisze w przesłanym Onet.pl oświadczeniu Marcin Gruszka, przedstawiciel Orange.
Gruszka w swoim liście podziękował redakcji hacking.pl, która zauważyła błędy w zabezpieczeniach.
