Una vulnerabilidad en la API de Verizon FiOS Mobile animales Fácil acceso al correo electrónico de cualquier información User

Verizon no está haciendo muchos amigos cuando se trata de mantener la información privada privada. Apenas dos días después de la noticia de que Verizon Wireless está recogiendo y en algunos casos la venta de navegación por la web información, su empresa matriz se ha dado un ojo negro para las prácticas inseguras relacionadas con el servicio FiOS Internet. El investigador de seguridad Randy Westergren descubrió una manera de acceder a alguna Verizon cuenta de correo electrónico de FiOS de usuario mediante el uso de la API de móvil.

sin nombre (11)

El mensaje es: "Usted realmente no debe utilizar esta aplicación. O el correo electrónico gratuito que le dimos. En absoluto."

El descubrimiento de Westergren y su explicación son muy técnicos, pero lo que se reduce a es que podía sustituir el nombre de usuario (y sólo el nombre de usuario) de un usuario de correo electrónico de Verizon FiOS en un script API particular para el acceso esa cuenta. Esto le permitió recuperar temas de correo electrónico y los remitentes sin tener que autenticarse con una contraseña u otro token de seguridad. Este fue el mismo que se utilizan en API la aplicación Verizon FiOS Mi, que tiene acceso a cuentas de correo electrónico de Verizon.net del servicio.

A favor de Verizon, el problema fue corregido (y confirmado como fijos) sólo dos días después de que el investigador alertó al equipo de seguridad de la empresa. lección aquí es: no dar su correo electrónico (o cualquier otra información personal) a las empresas que no sean de confianza, al menos no si usted posiblemente puede evitarlo.

Actualizar: Un representante de Verizon en contacto con nosotros para aclarar la posición de cifrado en servicios de correo electrónico Verizon.net y la aplicación My FiOS. El servicio de correo electrónico en sí utiliza el cifrado SSL / TLS con HTTPS hacia y desde la aplicación móvil, y así que después de la revisión mencionada en la historia anterior, la información en la sesión de API sólo debe ser visible para el usuario autorizado.

Fuente: Randy Westergren


» » Una vulnerabilidad en la API de Verizon FiOS Mobile animales Fácil acceso al correo electrónico de cualquier información User