VMware разглашает личную информацию своих подписчиков
Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.
Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.
В Full-Disclosure появилась информация о том, что функционал редактирования подписки на почтовые уведомления на сайте VMWare содержит уязвимость, которая позволяет злоумышленникам получить доступ к личным данным подписчиков. Уязвимость существует из-за того, что приложение не производит достаточную аутентификацию (CWE-287) при проверке подлинности подписчика. Для того, чтобы получить доступ к личным данным подписчиков, необходимо знать лишь их email адреса.
Получение доступа к личным данным пользователя осуществляется через форму на странице:
http://info.vmware.com/content/opt-out?elq=[UNIQUE ID]
где UNIQUE ID – должен был быть секретный идентификатор подписки. Но это значение нигде не проверяется.
Злоумышленники могут заполучить доступ к следующей информации: имя и фамилия подписчика, название компании, страна, рабочий email, номер телефона, адрес.
Если вы являетесь подписчиком компании VMware и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.
Устали от того, что Интернет знает о вас все? Присоединяйтесь к нам и станьте невидимыми!