سه خصوصیت آشکار شده Brit با کد بررسی نامرتب

   
نام نویسنده:
|
دسته بندی:
|
جوزف ردفرن، هکر، یک نقص حریم در تلکو انگلستان را گزارش داده است که اسامی و ایمیل هایی را در ارزیابی آنلاین آشکار می کند.تلکو سایت ارزیابی تخلف و API آشکارشده را مسدود کرده که اطلاعات خصوصی را در فرم های JSON در زمان ورود کاربر به داده، باز می گرداند.


ردفرن اظهار می کند نقص به این معناست که هر شماره تلفنی را می توان در درخواست های واضح متنی وارد کرد. انجام چنین کاری باعث تولید نام و آدرس ایمیل واقعی مالک می شود.
وی می افزاید: "این سایت یک درخواست AJAX را بر API ایجاد کرده بود که بر HTTP متن خالی، شماره تلفن همراه من را در URL عبور داده بود."
"این پاسخ شامل Three شماره اکانت، نام کامل من، آدرس ایمیل من و برخی از مدارک شناسایی دیگر بود.
تایید می کنم که این موضوع، با وارد کردن شماره تلفن یک دوست نمونه ای برای من بود و با اطمینان کافی از نام آنها و جزئیات مخاطب به من ارائه شد.
واضحا، این آشکارسازی اطلاعات ایده آل نیست. توانایی پیدا کردن صاحب اکانت و جزئیات مخاطب درباره هر سه شماره تلفن برای حملات مهندسی اجتماعی، تعقیب مخفیانه یا اسپم راحت خواهد بود."
ردفرن می افزاید که حمله کنندگان شماره تلفن های بریتانیایی را مهار کنند و برای گردآوری یک پایگاه داده از مشتریان Three، API را فراهم نمایند.
وی می گوید: "من این امر را یک شاخه کاملا جدی از حریم در نظر می گیرم."
به نظر نمی رسد Three از اطلاعات شخصی برای هر بخش آشکار ارزیابی، طبق گفته ی ردفرن استفاده نماید.
وی بیان می کند تلکو به درخواست وی برای آگاه شدن از زمان بستن شدن حریم خصوصی پاسخ نداده است.

 

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید