VMware разглашает личную информацию своих подписчиков

Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.

В Full-Disclosure появилась информация о том, что функционал редактирования подписки на почтовые уведомления на сайте VMWare содержит уязвимость, которая позволяет злоумышленникам получить доступ к личным данным подписчиков. Уязвимость существует из-за того, что приложение не производит достаточную аутентификацию (CWE-287) при проверке подлинности подписчика. Для того, чтобы получить доступ к личным данным подписчиков, необходимо знать лишь их email адреса.

Получение доступа к личным данным пользователя осуществляется через форму на странице:

http://info.vmware.com/content/opt-out?elq=[UNIQUE ID]

где UNIQUE ID – должен был быть секретный идентификатор подписки. Но это значение нигде не проверяется.

Злоумышленники могут заполучить доступ к следующей информации: имя и фамилия подписчика, название компании, страна, рабочий email, номер телефона, адрес.

Если вы являетесь подписчиком компании VMware и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.