Η MetroPCS εταιρεία παροχής προπληρωμένων  υπηρεσιών και  δεδομένων στην Αμερική  κατάφερε να διορθώσει ένα σοβαρό κενό ασφαλείας που είχε δημιουργηθεί και παραλίγο να κοστίσει την ασφάλεια των προσωπικών δεδομένων…

 

των πελατών της.

Οι Eric Taylor and Blake Welsh ερευνητές της ασφάλειας ηλεκτρονικού εγκλήματος διερευνούν το bug όπου επηρέασε τη σελίδα πληρωμής της MetroPCS. Αυτή τη στιγμή η ιστοσελίδα βρίσκεται σε λειτουργία συντήρησης καθώς η εταιρία προσπαθεί να διορθώσει το λογισμικό της.

Οι ερευνητές ανακάλυψαν τον τρόπο τον ψαρέματος. Επρόκειτο για την αποστολή ενός αιτήματος HTTP στον server του MetroPCS  που ζητούσε τον αριθμό ενός τηλεφώνου. Αντί για μία τυπική απάντηση ναι / όχι, η ιστοσελίδα θα επιστρέψει όλα τα δεδομένα που έχει σε αυτό τον αριθμό τηλεφώνου, όλα σε απλό κείμενο.

Eπιβεβαίωσαν τις διαπιστώσεις τους, χρησιμοποιώντας έναν φίλο και έναν τυχαίο χρήστη του twitter.Αυτοί οι δύο ήρθαν σε επαφή με το προσωπικό της εταιρίας και έδωσαν όλες τις λεπτομέρειες για τα ευρήματα τους.Τα δεδομένα που βρίσκονται υπό την απειλή των hackers είναι τα εξής: το πραγματικό όνομα των πελατών, η διεύθυνση,το μοντέλο του τηλεφώνου που κατέχει, την τρέχουσα κατάσταση πληρωμής και οποιαδήποτε άλλη πληροφορία υπήρχε στη βάση δεδομένων της εταιρίας. Όλα αυτά τα προσωπικά στοιχεία ακόμα και αν δεν περιείχαν οικονομικές πληροφορίες θα επέτρεπαν στον χάκερ να πραγματοποιήσει επιθέσεις σε κοινωνικά δίκτυα ή οτιδήποτε άλλο και να αποκτήσει πρόσβαση σε άλλους λόγαριασμούς που ο χρήστης ίσως είχε.  Επιπλέον, δεδομένου ότι οι εισβολείς κατάφεραν να συλλέξουν τόσα στοιχεία από μία μεγάλη εταιρία όπως η MetroPCS μέσω μιας απλής αίτησης HTTP θα μπορούσαν να είχαν χρησιμοποιήσει scripts όπου θα έδιναν τυχαίους αριθμούς και θα συνέλεγαν στοιχεία από πελάτες της.

Τέλος πριν οι Taylor and Welsh ανακαλύψουν τον ιό στην MetroPCS βρήκαν ιούς στις παρακάτω ιστοσελίδες Verizon, Charter Communications, και Aptean SupportSoft support system.

Πηγή: SecNews