Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.
В Full-Disclosure появилась информация о том, что функционал редактирования подписки на почтовые уведомления на сайте VMWare содержит уязвимость, которая позволяет злоумышленникам получить доступ к личным данным подписчиков. Уязвимость существует из-за того, что приложение не производит достаточную аутентификацию (CWE-287) при проверке подлинности подписчика. Для того, чтобы получить доступ к личным данным подписчиков, необходимо знать лишь их email адреса.
Получение доступа к личным данным пользователя осуществляется через форму на странице:
http://info.vmware.com/content/opt-out?elq=[UNIQUE ID]
где UNIQUE ID – должен был быть секретный идентификатор подписки. Но это значение нигде не проверяется.
Злоумышленники могут заполучить доступ к следующей информации: имя и фамилия подписчика, название компании, страна, рабочий email, номер телефона, адрес.
Если вы являетесь подписчиком компании VMware и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.
