Уязвимость в сайте Verizon подвергла клиентов риску SIM-свопинга.
https://www.securitylab.ru/upload/ib...c11c46f822.jpg
Исследователь в области кибербезопасности Джозеф Харрис (Joseph Harris) обнаружил способ подбора PIN-кодов клиентов Verizon в интернете, потенциально получая возможность взломать учетные записи пользователей.
Проблема заключалась в том, что web-сайт Verizon не ограничивал количество одновременных запросов на введение PIN-кода, и фиксировал только одну попытку. Многие сайты настроены блокировать подобные попытки угадать пароль после нескольких неправильных запросов. Однако в данном случае у хакеров могли быть неограниченные возможности.
«Используя эту единственную страницу, я могу раскрыть любой номер учетной записи клиента Verizon, а также получить доступ к PIN-коду. Довольно серьезная ошибка», — пояснил эксперт изданию Motherboard.
По словам Харриса, злоумышленник с помощью PIN-кода клиента может запросить смену SIM-карты. Атака под названием SIM-свопинг (подмена SIM-карты), позволяет хакеру перенаправлять текстовые сообщения себе с целью взлома других учетных записей. Злоумышленники также могли добавить новый номер телефона в учетную запись цели или прочитать текстовые сообщения пользователя.
«Состояние гонки могло позволить мне получить контроль над учетной записью Verizon. Можно было просматривать сообщения на vtext.com», — добавил Харрис.
Харрис загрузил на YouTube видеоролик с демонстрацией PoC-кода для эксплуатации уязвимости. Исследователь сообщил Verizon о проблеме, и компания отключила уязвимые страницы.
https://youtu.be/ZNNdkH24AaU