QR CodeOrange Multi Box posiada luki w zabezpieczeniach

Jak podaje Hacking.pl serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:

• konto email (wysyłanie, edycja, kasowanie wiadomości)
• edycja profilu konta - sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
• historia wysłanych przez bramkę sms’ów i mms’ów
• historia odebranych przez bramkę sms’ów i mms’ów
• zmiany hasła do konta i pytania przypominającego hasło
• foldery - usługa pozwalające trzymać własne pliki na wirtualnym dysku
• kalendarz
• książka adresowej
• notatki
• Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

W oświadczeniu podanym przez Michała Gruszkę rzecznika prasowego Orange, możemy dowiedzieć się, że luka ta zostanie usunięta jeszcze dzisiaj, a w wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma.

Aktualizacja
Po dwóch godzinach programiści Orange przy współpracy z redakcją Hacking.pl poprawił błędy w zabezpieczeniu swojego serwisu.