Jak informował serwis hacking.pl, oferowany przez firmę PTK Centertel symulator telefonów - symulator.idea.pl - posiadał błąd pozwalający na edycję plików konfiguracyjnych serwera. Dzięki temu przy użyciu przeglądarki stron www można było odczytać zawartość plików zawierających nazwy dysków i partycji czy też konfiguracyjnych powłokę BASH. Nie jest też problemem wyedytowanie głównego pliku startowego systemu zawierającego listę terminali czy też pliku /etc/passwd.
Błąd polegał na przekazywaniu w linku nazwy zmiennej określającej otwierany plik.
W skutek doniesień serwisu, operator zablokował wadliwy skrypt, a adres symulatora został przekierowany na stronę www.idea.pl .
Hacking.pl wcześniej informował także o innym wykrytym błędzie na stronach Idea24 on-line - systemu elektronicznej obsługi klientów sieci Idea.
Z powodu błędu występującego na stronie Idea24 on-line moża było przeglądnąć cudze biling nie tylko z aktualnego, ale również z wcześniejszych okresów. Poprzez zastosowanie techniki SQL injection można było mieć pełną kontrolę nad przesyłanymi danymi.
Źródło tekstu: hacking.pl
