Znaleźliśmy kolejną dziurę w serwerach Centertela. Tym razem pozwala ona na swobodne przeglądanie poczty klientów Orange.
Tak, jak poprzednio, czynność ta nie wymaga żadnych programistycznych zdolności. Umożliwia m.in. przeglądanie poczty dowolnego konta MultiBox czy sprawdzenie możliwości skorzystania z programu ProPozycja.
Niestety (a może "stety") szukanie konkretnych MultiBoxów odbywa się trochę na ślepo, choć bez problemów można przeczytać pocztę swojej rodziny czy przyjaciół – wystarczy ich tylko sprowokować do określonego zachowania.
Udało nam się znaleźć MultiBoxa Jacka Kalinowskiego, rzecznika grupy TP. Oto kilka innych przykładów, wyciągniętych dzięki temu poważnemu błędowi w bezpieczeństwie (po lewej alias, po prawej numer telefonu użytkownika – oba częściowo zamaskowane):
• przedszkole**@orange.pl – 504**5777,
• hool**@orange.pl – 503**9513,
• **[email protected] – 504**9562,
• santana***@orange.pl – 503**3663,
• ***[email protected] – 503**0670,
• anna**@orange.pl – 501**0009.
Skrypt, który wyciągałby takie powiązania, można zawrzeć w kilkunastu linijkach. Niejedna firma czy osoba z pewnością dobrze zapłaciłaby za taką bazę danych. Proszę się nie martwić – my szanujemy tajemnicę korespondencji. Nie zmienialiśmy na kontach niczego ani nie czytaliśmy żadnych listów. Nie zamierzamy także z nikim dzielić się zdobytymi w ten sposób informacjami.
Marcin Gruszka z biura prasowego Orange obiecał przysłać wkrótce oficjalnie stanowisko firmy w tej sprawie.
O poprzedniej dziurze w zabezpieczeniach, która pozwoliła nam ściągnąć m.in. poufną umowę między Centertelem a Comarchem, pisaliśmy w tej wiadomości.
Źródło tekstu: wł
