Для получения полного контроля над аккаунтом достаточно знать номер телефона и почтовый индекс жертвы.
Компания AT&T исправила уязвимость на своем сайте ATT.com, которая давала возможность любому злоумышленнику захватить чужой аккаунт, зная только номер телефона и почтовый индекс жертвы.
Проблему обнаружил исследователь кибербезопасности Джозеф Харрис в начале этого года. Харрис нашел способ использовать функцию объединения аккаунтов для зловредных целей. Суть уязвимости заключалась в том, что хакер мог фактически объединить свой собственный аккаунт с любым другим, получив возможность изменить пароль от аккаунта жертвы и взять его под контроль.
По словам Харриса, недостаток мог позволить злоумышленнику проводить SIM-свопинг (SIM Swapping), изменить любые данные жертвы, управлять услугами аккаунта и многое другое.
Представитель AT&T подтвердил наличие проблемы и заявил, что уязвимость была оперативно исправлена через программу поощрения за обнаружение ошибок (Bug Bounty). Представитель также добавил, что нет доказательств того, что ошибка была эксплуатирована кем-то кроме исследователя.
Как работает уязвимость
После создания бесплатного профиля на ATT.com хакер мог перейти на вкладку «объединить аккаунты» и выбрать «уже зарегистрированные аккаунты». После ввода номера телефона и почтового индекса жертвы появлялся ее скрытый идентификатор пользователя и требовался пароль. Затем злоумышленник мог перехватить запрос пароля и использовать бэкенд сайта для перенаправления запроса пароля на свой аккаунт.
Вознаграждение от AT&T за обнаружение ошибки в размере $750 Харрису показалось недостаточным, учитывая серьезность проблемы, легкости эксплуатации и того факта, что AT&T является одной из крупнейших телекоммуникационных компаний в мире.
AT&T не ответила на запросы о комментариях по поводу выплаты вознаграждения, но несколько ИБ-экспертов поддержали Харриса в том, что проблема стоила больше, чем ему заплатили. Среди экспертов был Роджер Граймс из KnowBe4. Он отметил, что подобные проблемы продолжают повторяться у крупнейших телеком-операторов – AT&T, T-Mobile и Verizon.
Харрис привел в пример повторяющиеся объявления от всех трех крупнейших американских телеком-операторов о нарушениях безопасности за последние 5 лет как доказательство того, что SIM-свопинг все еще популярный метод атаки у киберпреступников. Харрис отметил, что, если бы реальный хакер или группировка использовали уязвимость, «возник бы массовый хаос».
Живой, мертвый или в суперпозиции? Узнайте в нашем канале