Blog BazaTelefonów.pl
 

Poważny błąd w Gadu-Gadu i Gadu Air

Internet, Operatorzy 2010-12-01 13:42

Jeden z czytelników serwisu Niebezpiecznik.plznalazł błąd w sieci telefonii komórkowej Gadu Air należącej do Gadu-Gadu. Błąd pozwalał każdemu internaucie na podgląd billingów dowolnego abonenta Gadu Air — wystarczyło znać numer jego telefonu, lub numer jego GG.


 

Oprócz billingów atakujący mógł podejrzeć stan konta i informacje o usługach.

Poniżej wiadomość od znalazcy błędu:

"Błąd występował na serwerze Gadu-Gadu odpowiadającym za API do GG10. W GG10 jako multi-kombajnie dodano wiele opcji, m.in.: sprawdzanie informacji o koncie GaduAIR, do którego wykorzystywane jest API znajdujące się na serwerze ‘konto.nowe.gg’"

Serwer odpowiadał na zapytania nawet bez nagłówka HTTP “Authorization”, co umożliwiało dostęp do wrażliwych danych innych użytkowników. Odpowiedzi serwera były zwracane w formacie JSON.

Aktualnie błąd został naprawiony i wszystkie odpowiedzi na zapytania bez autoryzacji otrzymują odpowiedź: You have no rights to access the resource.

Znalazca błędu w zamian za podesłanie powyższych informacji o błędach, otrzymał od Gadu-Gadu oszałamiającą propozycję: "Jeśli korzysta Pan z GG10 lub NGG Proszę o wybranie sobie 5 opisów graficznych ze strony gadudodatki.pl"...

Źródło: Niebezpiecznik.pl

Wojtek Konopa, wyświetlono 3829 razy.

Dodaj do: Wykop BLIP Flaker Facebook Twitter

Nie wklejaj HTML ani BB Code. Adresy IP są rejestrowane. Maksymalnie 1500 znaków.

Szukaj
Subskrybuj:
RSSAtom

Kategorie

Chmura tagów

Archiwum