Персональные сведения клиентов дочерней структуры Symantec — компании LifeLock — могут похитить злоумышленники. К такому выводу пришел независимый ИБ-специалист из Атланты Натан Риз (Nathan Reese). Исследователь выяснил, что несложные манипуляции с адресной строкой на сайте компании позволяют завладеть данными электронной почты ее клиентов.

Уязвимость была обнаружена после того, как эксперт решил отказаться от рассылки LifeLock и перешел на сайт компании. Он обратил внимание на числовой идентификатор в адресе страницы управления подпиской. Как оказалось, URL содержал уникальный номер абонента. Перебирая значения по порядку, исследователь смог просматривать информацию об электронной почте других клиентов.

Позднее Риз написал скрипт для парсинга этих данных. При помощи него он собрал около 70 адресов электронной почты, после чего остановил работу программы, чтобы не вызвать подозрений у службы безопасности LifeLock. По мнению эксперта, доступность этих сведений открывает широкие возможности для фишинговых атак на клиентов компании.

«Если бы я был плохим парнем, то определенно организовал бы фишинг-атаку на подписчиков рассылки. Ведь я знаю о них две важные вещи: их адрес электронной почты и то, что они являются целевой аудиторией LifeLock. Это существенная информация, поскольку такие люди наверняка обеспокоены вопросами кибербезопасности», — заявил Риз.

Специалист сообщил о своей находке основателю блога KrebsOnSecurity Брайану Кребсу (Brian Krebs), который в свою очередь связался с Symantec. После получения информации об уязвимости, скомпрометированная страница была отключена.

Представители Symantec заявили, что брешь не является проблемой клиентского портала LifeLock, а вызвана некорректной работой сервиса подписки, обслуживаемого другой организацией. Как сообщили в компании, они не выявили другой подозрительной активности на странице помимо работы созданного Ризом парсера.

С похожей угрозой столкнулся сервис рассылок MailChimp. В начале 2018 года ИБ-специалист Теренс Иден (Terence Eden) обнаружил возможность получения доступа к адресам других получателей писем через логи системы отказа от подписки. После получения информации об уязвимости компания исправила ошибку в информационной системе.

Категории: Уязвимости