Greška sigurnosti Verizona napustila je milijune korisnika internetskog interneta ranjivih na napade

Izvješće o istraživanju kršenja podataka Verizon 2015 / Via news.verizonenterprise.com

Sa svojih 4,4 milijarde dolara jučer kupio AOL , telekomunikacijski div Verizon stekao je milijune novih korisnika kućnog interneta. No, upadljiva sigurnosna greška sugerira da su možda doveli u opasnost milijune svojih postojećih korisnika interneta.



BuzzFeed News saznao je za ranjivost Verizon -ove usluge koja je mogla dopustiti bilo kome da vidi osobne podatke bilo kojeg od njegovih 9 milijuna korisnika internetskog prometa jednostavnim posjetom njegovoj web stranici s lažnom IP adresom - istim osobnim podacima koji se mogu koristiti za zatražite poništavanje lozinki i steknite potpunu kontrolu nad tim kućnim računima.

Verizon je popravio rupu u sigurnosti nakon što ga je BuzzFeed News obavijestio o tome.



BuzzFeed News uspio je provjeriti ovu ranjivost više puta, na više računa, uz izričito i ponavljano dopuštenje vlasnika računa.



Vaša IP adresa jedinstveni je broj dodijeljen vašim uređajima povezanim s internetom koji omogućuje drugim računalima da vas identificiraju. Nalazi se u zaglavlju e -poruka koje šaljete, a pametni hakeri mogu ih lako riješiti ako, recimo, uputite Skype poziv, igrate igre na mreži s Xboxom ili kliknete na pogrešnu vezu u e -poruci. No, pametnom hakeru ne bi trebalo da izvede ovaj Verizon -ov iskorištavanje. Zapravo, sve što vam je potrebno je dodatak za Firefox-jedan od stotina programa specifičnih za preglednike koje ljudi koriste za rad poput blokiranja prikaznih oglasa ili sinkronizacije oznaka između preglednika.

Prošli tjedan BuzzFeed News dobio je dojavu od Eric Taylor - sada glavnog službenika za informacijsku sigurnost tvrtke koja se zove Cinder , ali vjerojatno poznatiji po svom bivšem hakerskom nadimku, Cosmo the God. Taylor i Blake Welsh, studentice Anne Arundel Community College u Marylandu, pronašle su način za jednostavan pristup podacima o korisniku Verizon lažiranjem IP podataka. Proslijedili su informacije BuzzFeed Newsu pod uvjetom da ih prije objavljivanja prijavimo Verizonu - što smo i učinili.

Ranjivost je postojala jer vas web stranica Verizon -ove korisničke podrške identificira putem IP adrese vašeg računala. Budući da ovu adresu generira vaš davatelj internetskih usluga, ono što zaista traži je ako na njezinu stranicu dođete s IP adresom koju Verizon prepoznaje. Budući da su te IP adrese jedinstvene za svakog korisnika internetskog interneta, kada vidi jednu koju prepozna, pretpostavlja da zna tko ste i dok nismo obavijestili Verizon o nedostatku, automatski je prikazao stvari poput vaše lokacije, vašeg imena, vašeg telefonskog broja , i vašu adresu e -pošte. I to je stvarno sve što vam je potrebno da preuzmete kontrolu nad računom Verizon.



U roku od nekoliko sati od dojave, i unatoč tome što nisam imao tehničku podlogu, uz izričito dopuštenje nekoliko vlasnika računa Verizon, uspio sam uvjeriti Verizon službu za korisnike da poništi lozinku računa, dajući mi potpunu kontrolu nad računom Verizon. Iznenađujuće je lako učinjeno.

Trebala su mi samo dva preuzimanja, kopiranje i lijepljenje nekih podataka iz e -pošte te nekoliko interakcija s Verizon korisničkom podrškom. Bilo je samo pitanje slijediti korak po korak upute. Drugim riječima, ako možete slijediti recept, vjerojatno ste mogli poništiti lozinku za Verizon.

Prvo sam preuzeo određenu staru verziju Firefoxa (20, ako ste se pitali). Zatim sam preuzeo 'X-Forwarded-For Header', jednostavno Firefoxovo proširenje koje omogućuje vašem pregledniku da se lažno predstavlja kao IP adresa po vašem izboru. Ubacio sam IP adresu korisnika Verizon -a - koju sam izvukao iz zaglavlja e -poruke koju mi ​​je poslao jedan od volontera koji mi je dao dopuštenje da preuzmem kontrolu nad njegovim računom - u ekstenziju.



Zatim sam prešao na stranicu za korisničku podršku tvrtke Verizon koja je prikazivala moju lokaciju u drugom stanju - stanju računa koje sam koristio (s dopuštenjem) za testiranje ove metode. Iako radim u New Yorku, stranica je prikazivala moju lokaciju kao DC, pozdravila me i imenom - ali ne i imenom, imenom na računu.

Postojala je daljnja potvrda da sam prevario web lokaciju - stranica za podršku pokazala je marku i naziv svakog od Verizon uređaja na početnoj stranici našeg testnog računa:

Odavde su postojala dva jednostavna načina za izvlačenje osobnih podataka. Prvi je bio klik na opciju za chat uživo s predstavnikom Verizon službe za korisnike. To je otvorilo stranicu prije chata koja se automatski popunjava imenom korisnika i njegovim telefonskim brojem.

Drugi je način bio otvaranje izvornog koda bilo koje stranice unutar odjeljka za podršku. Sve su to pokazale iste podatke, plus adresu e -pošte i mobilni telefon povezan s računom.

Ovi podaci - ime, telefonski brojevi i e -pošta - bili su mi sve što je potrebno (i još zastrašujuće, sve što bi zlonamjernom hakeru bilo potrebno) da uvjerim Verizon službu za korisnike da sam korisnik kojem je potrebno poništavanje lozinke.

Još gore, korisnička podrška dala mi je te podatke za poništavanje unatoč tome što je korisnik postavio sigurnosni PIN. Kako bi se poništilo kad je netko postavio PIN, Verizon korisnička podrška zahtijeva ili taj broj, iznos posljednjeg plaćanja ili pristup telefonu navedenom na računu; Verizon će nazvati korisnike na taj broj sa svojim PIN -om. Ništa od navedenog nije navedeno u izvornom kodu, a ja očito nisam imao pristup telefonskom računu.

Zato sam nazvao i zatražio iznos moje posljednje uplate, tvrdeći da mi balansira čekovnu knjižicu. Verizon mi ga je sretno dao. Sada naoružan jednim od potrebnih podataka za provjeru, nazvao sam treći put i dobio prijateljskog predstavnika za poništavanje lozinke. Uspješno smo uspjeli ponoviti ovaj postupak na zahtjev.

Da sam kriminalac, ovdje bi počele zaista loše stvari. Za nekoga tko koristi adresu e -pošte Verizon, da sam htio, mogao sam to resetirati i pročešljati podatke o kreditnoj kartici i banci, zdravstvene kartone, brojeve socijalnog osiguranja - funkcionira. Ovisno o tome koje Verizon usluge koristi račun, mogao sam im promijeniti lozinku glasovne pošte, promijeniti paket pretplate na internet, otkazati televiziju itd.

Postoje i razne druge stvari za koje bi se ti osobni podaci mogli koristiti - uključujući provjeru drugih računa. Vrlo je uobičajeno da hakeri iskorištavaju informacije pronađene na jednom mjestu kako bi na drugom dobili poništavanje lozinki. Štoviše, to također znači da bi organi za provedbu zakona mogli dobiti identitet bilo koga s Verizon IP adresom, bez sudskog naloga.

Nakon što je ispravio ranjivost, Verizon je BuzzFeed News -u dao sljedeću izjavu:

'Nakon što smo na to skrenuli pozornost, naši su stručnjaci odmah istražili problem i popravili pogrešku u roku od nekoliko sati. Cijenimo odgovoran način na koji nam je Buzzfeed skrenuo pažnju na ovo pitanje. Zajedničko rješavanje ovakvih pitanja konstruktivan je dodatak našim kontinuiranim akcijama za zaštitu sigurnosti podataka korisnika. '

Pododjeljak o sigurnosti stranice za podršku za Verizon FiOS internet, koji koristi 6,6 milijuna američkih kućanstava, glasi: 'Kupovanje na mreži, korištenje e -pošte ili surfanje internetom ne bi vas trebali ostaviti osjetljivim na napade virusa, krađu identiteta ili druga kršenja sigurnosti. ' Dok se Verizon ne pobrine da nedostaci budu tako jednostavni i laki za iskorištavanje, kao što ovaj ne postoji, njihovi će se milijuni kupaca, starih i novih, osjećati upravo to: ranjivo.

Svibanj. 13. 2015. u 18:09

Prema glasnogovorniku Verizona, Alberto Canal, ranjivost je posljedica pogreške programirane u kodu web stranice 22. travnja ove godine.

Svibanj. 13. 2015. u 18:43

U dodatnoj izjavi za BuzzFeed, glasnogovornik Verizona Alberto Canal napisao je: 'Nemamo razloga vjerovati da je to utjecalo na bilo koje klijente, osim na one čije je podatke koristio Buzzfeed. Ako otkrijemo da jesu, izravno ćemo ih kontaktirati. '