В VoIP сервисе Fuze исправлены 3 серьезные уязвимости
Недостатки в системах управления доступом и проверки подлинности, обнаруженные компанией по безопасности Rapid7, обеспечивали хакерам возможность доступа к персональным данным пользователей Fuze. Уязвимости позволяли получить доступ к номерам телефонов, адресам электронной почты, имени родительской учетной записи и ссылке на административный интерфейс.
Первая уязвимость вызвана недостаточным контролем доступа во время вывода конфиденциальных данных. Злоумышленник мог просмотреть важные данные других пользователей Fuze путем перебора MAC-адресов.
Вторая ошибка заключалась в недостаточном ограничении чрезмерных попыток аутентификации. Злоумышленники могли успешно осуществить брутфорс-атаку и подобрать логины и пароли.
Последний из трех недостатков состоял в использовании HTTP-протокола вместо HTTPS для авторизации пользователей.
Fuze предлагает предприятиям мультиплатформенный сервис для звонков, обмена сообщениями и совместной работы. В начале мая компания устранила все три уязвимости и дала Rapid7 разрешение опубликовать исследование в своем блоге.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш