Luki w serwisie Orange

Orange, w ramach świadczonych usług, zapewnia swoim klientom dostęp do konta email. Wraz z kontem klient uzyskuje dostęp do organizatora on-line, jak i systemu "Orange On-Line". System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.

Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta - podaje hacking.pl.

Bez dalszej autoryzacji użytkownik uzyska dostęp do sekcji:

- konto email (wysyłanie, edycja, kasowanie wiadomości)

- edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)

- historia wysłanych przez bramkę sms'ów i mms'ów

- historia odebranych przez bramkę sms'ów i mms'ów

- zmiany hasła do konta i pytania przypominającego hasło

- foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku

- kalendarz

- książka adresowej

- notatki

Dodatkowo, wchodząc na stronę "Orange On-Line" możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

Hacking.pl poinformował przedstawicieli sieci komórkowej Orange o istniejących błędach. Specjaliści od bezpieczeństwa Orange od razu zareagowali na błędy zgłoszone przez hacking.pl i podjęli działania naprawcze.

Jak zapewnia biuro prasowe Orange, błąd został usunięty, o czym poinformowano w oświadczeniu przesłanym do hacking.pl.

"Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box"

PG