Уязвимость в сайте Verizon подвергла клиентов риску SIM-свопинга.

Исследователь в области кибербезопасности Джозеф Харрис (Joseph Harris) обнаружил способ подбора PIN-кодов клиентов Verizon в интернете, потенциально получая возможность взломать учетные записи пользователей.

Проблема заключалась в том, что web-сайт Verizon не ограничивал количество одновременных запросов на введение PIN-кода, и фиксировал только одну попытку. Многие сайты настроены блокировать подобные попытки угадать пароль после нескольких неправильных запросов. Однако в данном случае у хакеров могли быть неограниченные возможности.

«Используя эту единственную страницу, я могу раскрыть любой номер учетной записи клиента Verizon, а также получить доступ к PIN-коду. Довольно серьезная ошибка», — пояснил эксперт изданию Motherboard.

По словам Харриса, злоумышленник с помощью PIN-кода клиента может запросить смену SIM-карты. Атака под названием SIM-свопинг (подмена SIM-карты), позволяет хакеру перенаправлять текстовые сообщения себе с целью взлома других учетных записей. Злоумышленники также могли добавить новый номер телефона в учетную запись цели или прочитать текстовые сообщения пользователя.

«Состояние гонки могло позволить мне получить контроль над учетной записью Verizon. Можно было просматривать сообщения на vtext.com», — добавил Харрис.

Харрис загрузил на YouTube видеоролик с демонстрацией PoC-кода для эксплуатации уязвимости. Исследователь сообщил Verizon о проблеме, и компания отключила уязвимые страницы.

Источник: securitylab