VMware разглашает личную информацию своих подписчиков

image

Теги: VMware, уязвимость

Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.

Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.

В Full-Disclosure появилась информация о том, что функционал редактирования подписки на почтовые уведомления на сайте VMWare содержит уязвимость, которая позволяет злоумышленникам получить доступ к личным данным подписчиков. Уязвимость существует из-за того, что приложение не производит достаточную аутентификацию (CWE-287) при проверке подлинности подписчика. Для того, чтобы получить доступ к личным данным подписчиков, необходимо знать лишь их email адреса.

Получение доступа к личным данным пользователя осуществляется через форму на странице:

http://info.vmware.com/content/opt-out?elq=[UNIQUE ID]

где UNIQUE ID – должен был быть секретный идентификатор подписки. Но это значение нигде не проверяется.

Злоумышленники могут заполучить доступ к следующей информации: имя и фамилия подписчика, название компании, страна, рабочий email, номер телефона, адрес.

Если вы являетесь подписчиком компании VMware и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.


или введите имя

CAPTCHA
Страницы: 1  2  
sdv
05-04-2011 18:39:46
и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.На нереальные? Или предлагаете срочно изменить имя и фамилию, компанию, в которой работаешь, рабочий e-mail, адрес и т.д.?
0 |
76407
05-04-2011 19:27:30
Ловишь на лету! Скорей беги менять фамилию!
0 |
sdv
05-04-2011 21:26:46
Да мне лично глубоко пофигу. Я не буду печалится, что данные регистрации на имя Illya Fuckoff кому-то утекли, особенно учитывая, что нужна она была просто для скачивания свежей версии софта и не более. Просто забавляет предложение "экспертов" для людей, которые действительно покупали продукты. Что на что менять? Вбивать теперь липу в данные на vmware? А смысл, если утекли реальные данные? Или менять эти данные в реале? Т.е. менять ФИО, переименовывать компанию, переносить офис, менять телефон и рабочий e-mail и т.д.? ИМХО разработчикам сайта нужно поставить клизму с кипятком, бывают ошибки, конечно, но настолько глупые - как-то несолидно.
0 |
дадада
06-04-2011 00:07:27
Что на что менять? Вбивать теперь липу в данные на vmware? А смысл, если утекли реальные данные? Если утекли, то уже ничего не поможет, а если еще нет, то возможно имеет смысл их временно изменить. Я надеюсь, Вы понимаете, в чем именно состоит уязвимость Или менять эти данные в реале? Т.е. менять ФИО, переименовывать компанию, переносить офис, менять телефон и рабочий e-mail и т.д.? Это самый оптимальный вариант, а еще лучше из страны выехать и сменить гражданство и пол )))
0 |
1
05-04-2011 19:00:51
да все это фигня данные не критичны.
0 |
Сантьяга
05-04-2011 22:34:11
Хм, мне одному заголовок новости показался притянутым за уши к её содержанию?
0 |
vm barista
06-04-2011 11:50:21
Ошибка скорее не в том что VM Ware оказался дырявый, а в доверии пользователей. Не доверять любой конторе, и обходиться минимально возможной информацией о себе, - только для продолжения работы\переписки\фака, по возможности, разумеется. Бдить во всю, вокруг сплошное западло!
0 |
Mr B
06-04-2011 11:57:35
А какие там ЛИЧНЫЕ данные? Меня несколько сотен человек знает по имени-фамилии-компании, где работаю. Что там секретного?
0 |
Страницы: 1  2