Эксперты из компании Rapid7 обнаружили проблемы в системах управления доступом и проверки подлинности. С их помощью хакеры могли получить доступ к персональным данным пользователей сервиса для звонков и обмена сообщениями Fuze.
Благодаря уязвимостям, можно было получать доступ к телефонным номерам, электронным почтовым адресам, имени родительского аккаунта и ссылке на административную панель.
Причиной первой уязвимости является недостаточный контроль при выводе конфиденциальной информации. Киберпреступник мог просматривать важную информацию, принадлежащую другим пользователям Fuze, посредством перебора MAC-адресов.
Недостаточное ограничение большого количества попыток аутентификации является причиной второй уязвимости. Хакеры могли с помощью метода полного перебора получить доступ к логинам и паролям.
Третья уязвимость заключалась в применении незащищенного протокола (HTTP) вместо защищенного (HTTPS) при авторизации пользователей.
Все три уязвимости были ликвидированы в начале мая, после чего разработчики Fuze позволили специалистам Rapid7 опубликовать свой отчет.
