В VoIP сервисе Fuze исправлены 3 серьезные уязвимости

В VoIP сервисе Fuze исправлены 3 серьезные уязвимости

Исследователи из Rapid 7 обнаружили ряд уязвимостей в работе сервиса.

Недостатки в системах управления доступом и проверки подлинности, обнаруженные компанией по безопасности Rapid7, обеспечивали хакерам возможность доступа к персональным данным пользователей Fuze. Уязвимости позволяли получить доступ к номерам телефонов, адресам электронной почты, имени родительской учетной записи и ссылке на административный интерфейс.

Первая уязвимость вызвана недостаточным контролем доступа во время вывода конфиденциальных данных. Злоумышленник мог просмотреть важные данные других пользователей Fuze путем перебора MAC-адресов.

Вторая ошибка заключалась в недостаточном ограничении чрезмерных попыток аутентификации. Злоумышленники могли успешно осуществить брутфорс-атаку и подобрать логины и пароли.

Последний из трех недостатков состоял в использовании HTTP-протокола вместо HTTPS для авторизации пользователей.

Fuze предлагает предприятиям мультиплатформенный сервис для звонков, обмена сообщениями и совместной работы. В начале мая компания устранила все три уязвимости и дала Rapid7 разрешение опубликовать исследование в своем блоге.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!