Британский мобильный оператор связи подвергает риску пользовательские данные

image

Теги: личные данные, Великобритания, мобильная связь

ИБ-эксперт считает, что рассекреченные данные могут быть использованы злоумышленниками в спам-атаках.

ИБ-эксперт Джозеф Редферн (Joseph Redfern)  обнаружил , что на сайте британского мобильного оператора Three существует проблема, связанная с конфиденциальностью данных, которая может стать причиной рассекречивания имен и электронных адресов пользователей в ходе online-опросов.

Редферн получил электронное письмо от Three с просьбой оценить качество, предоставляемых компанией услуг. Заманчивым был тот факт, что участвующие в опросе могли получить в подарок iPad. Эксперт перешел про ссылке в письме и открыл ее в браузере Firefox. Редферн обнаружил, что сайт threemicrosites.co.uk (в настоящее время заблокирован) отправлял Ajax-запросы к API (threemicrosites.co.uk/api/getuser/p/44xxxxxxxxxx/, где xxxxxxxxxx является номером телефона пользователя). Запрос осуществлялся в виде незашифрованного текста при помощи HTTP-соединения, передавая номер мобильного телефона Редферна в URL. Ответ включал в себя номер учетной записи, полное имя и электронную почту Редферна. Информация от API была представлена в формате JSON.

ИБ-эксперт считает, что рассекреченные данные могут быть использованы злоумышленниками в кибератаках с эксплуатацией методов социальной инженерии и спам-атаках. По словам Редферна, Three не использовала личную информацию пользователей в корыстных целях, однако представители компании не отреагировали на вопрос эксперта о том, когда именно ошибка будет исправлена.

 


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.