Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
- konto email (wysyłanie, edycja, kasowanie wiadomości)
- edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
- historia wysłanych przez bramkę sms’ów i mms’ów
- historia odebranych przez bramkę sms’ów i mms’ów
- zmiany hasła do konta i pytania przypominającego hasło
- foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
- kalendarz
- książka adresowej
- notatki
Firma Orange została poinformowana o istniejących błędach.
Luki w systemie Orange znalazł Mariusz Dalewski - specjalista ds. security współpracujący z redakcją hacking.pl
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.