Исследователи из Rapid 7 обнаружили ряд уязвимостей в работе сервиса.
Недостатки в системах управления доступом и проверки подлинности, обнаруженные компанией по безопасности Rapid7, обеспечивали хакерам возможность доступа к персональным данным пользователей Fuze. Уязвимости позволяли получить доступ к номерам телефонов, адресам электронной почты, имени родительской учетной записи и ссылке на административный интерфейс.
Первая уязвимость вызвана недостаточным контролем доступа во время вывода конфиденциальных данных. Злоумышленник мог просмотреть важные данные других пользователей Fuze путем перебора MAC-адресов.
Вторая ошибка заключалась в недостаточном ограничении чрезмерных попыток аутентификации. Злоумышленники могли успешно осуществить брутфорс-атаку и подобрать логины и пароли.
Последний из трех недостатков состоял в использовании HTTP-протокола вместо HTTPS для авторизации пользователей.
Fuze предлагает предприятиям мультиплатформенный сервис для звонков, обмена сообщениями и совместной работы. В начале мая компания устранила все три уязвимости и дала Rapid7 разрешение опубликовать исследование в своем блоге.
Гравитация научных фактов сильнее, чем вы думаете