Oskar Zwierzchowski, czytelnik Chip.pl, poinformował o usterkach w zabezpieczeniach usług portalu o2. Administracja potwierdza tylko część z nich. Czy słusznie?
Oskar zwrócił naszą uwagę na artykuł na portalu niebezpiecznik.pl, w którym, wraz z Grzegorzem Stachowiakiem, informuje o usterkach w zabezpieczeniach usług serwisu o2. Jeżeli ich doniesienia są prawdziwe, to atakujący może sobie pozwolić na podmienienie istniejącego artykułu na swój własny a także, co gorsza, przeczytać treść wszystkich e-maili użytkowników, którzy zdecydowali się trzymać swoją pocztę na serwerze.
Taki atak jest możliwy z powodu trzech niedopatrzeń administracji serwisu: możliwy odczyt plików konfiguracyjnych serwera, możliwy atak SQL injection na serwer reklam o2. co pozwala na dostanie się do samego CMS-a portalu, a także możliwość przejęcia sesji użytkownika, który aktualnie sprawdza swoją pocztę poprzez webmail o2.
Serwis o2 zapewnia, że wszystkie wykryte usterki zostały już usunięte.
Polecamy w wydaniu internetowym chip.pl: Poważna wpadka antywirusa Microsoftu
