Pomarańcza na widelcu – co możemy wiedzieć o klientach Orange

Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
konto email (wysyłanie, edycja, kasowanie wiadomości)
edycja profilu konta – sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
historia wysłanych przez bramkę sms’ów i mms’ów
historia odebranych przez bramkę sms’ów i mms’ów
zmiany hasła do konta i pytania przypominającego hasło
foldery – usługa pozwalające trzymać własne pliki na wirtualnym dysku
kalendarz
książka adresowej
notatki
Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

Firma Orange została poinformowana o istniejących błędach.

Luki w systemie Orange znalazł Mariusz Dalewski – specjalista ds. security współpracujący z redakcją hacking.pl