Infos

Simple bogue a l’origine de l’exposition de l’historique de SMS des clients de Verizon wireless

Un chercheur spécialisé en sécurité a découvert une vulnérabilité simple dans un portail Internet destiné aux clients de Verizon Wireless qui permettait à n’importe qui de télécharger l’historique complète des SMS, y compris les numéros des correspondants, d’un abonné en saisissant simplement son numéro

La vulnérabilité, qui a été éliminée, découlait d’une erreur dans l’application Internet de Verizon qui ne vérifiait pas si le numéro saisi appartenait bien à la personne à l’origine de la saisie. Une fois qu’il avait saisi le numéro, l’utilisateur pouvait exporter l’activité SMS du compte ciblé dans une feuille de calcul. Cody Collier, le chercheur à l’origine de la découverte de cette vulnérabilité, a déclaré qu’il l’avait signalée directement à Verizon car il était lui même client de cet opérateur et il ne souhaitait pas qu’un tiers puisse ainsi accéder aux données de son compte.

šDans un courrier électronique, Cody Collier a déclaréš: « Je suis moi-même client de Verizon Wireless, si bien que dès que j’ai réalisé cette découverte, j’ai cherché à contacter Verizon. Je n’aurais pas apprécié que les données de mon compte soient exposées de cette façon ».

Dans son explication de l’attaque, Cody Collier a déclaré que la simple modification du numéro de téléphone d’un abonné dans l’URL permettait d’accéder à l’historique des SMS du nouveau numéro saisi. Ainsi, une URL semblable à celle reprise ci-dessous pouvait être modifiée afin d’afficher n’importe quel autre numéro de téléphone valide de Verizon Wireless, ce qui aurait permis à un individu malintentionné d’exporter dans un fichier CSV les SMS envoyés et reçus via le téléphone de l’utilisateur. Voici à quoi ressemble l’URLš:

https://wbillpay.verizonwireless.com/vzw/accountholder/unbilledusage/UnbilledMessaging.action?d-455677-e=2&1548506v4671=1&mtn=5555555555

En modifiant les chiffres à la fin de l’URL, qui constitue le numéro de téléphone de l’abonné, l’auteur de l’attaque pouvait accéder à n’importe quel compte. Cette vulnérabilité rappelle celle découverte et exploitée sur le site de AT&T en 2010 et qui avait provoqué la divulgation des informations personnelles de plus de 100š000 propriétaires d’un iPad. Andrew Auernheimer, connu sous le pseudo dešWeev,šavait transmis les données à un site d’information et il avait été condamné pour fraude à l’identité et d’autres crimes. Il purge actuellement une peine de plus de trois ans de prison.

Ceci étant dit, Coby Collier ne voit aucun parallèle entre ce qu’il a mis à jour et les actions d’Auernheimer, principalement parce que Collier a signalé la découverte directement à Verizon et ne l’a rendue publique qu’après l’élimination de la vulnérabilité.

Cody Collier a déclaréš: « L’incident a été signalé dans le cadre d’une divulgation responsable. Je ne vois donc pas en quoi cela peut être comparé au cas de Weev qui avait des intentions malveillantes. »

http://threatpost.com/simple-bug-exposed-verizon-wireless-users-sms-history/102630

Simple bogue a l’origine de l’exposition de l’historique de SMS des clients de Verizon wireless

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception