https://www.infosecurity-magazine.com/news/zenly-bugs-users-data-loss-account/
現在パッチが適用されている問題には、中程度のCVSS評価が与えられました。
Checkmarxの研究者によると、最初のバグはユーザーの電話番号を明らかにするため、信頼できるビッシング攻撃を仕掛けるために使用される可能性があります。
「ユーザーに友達リクエストを送信すると、Zenlyは友達リクエストが受け入れられるかどうかに関係なく、電話番号へのアクセスを許可します。この情報を取得するには、悪意のある攻撃者はユーザー名を知っているだけで済みます」と彼らは説明しました。
「ユーザー名の取得はそれ自体が難しい作業になる可能性がありますが、Zenlyはユーザーの友達の完全なリストも公開するため、簡単になります。つまり、ユーザーの電話番号を取得するために、悪意のある攻撃者はそうしません。最初にユーザー名を知っている必要がありますが、友達の1人が友達リストに被害者を追加するまで、友達のチェーンをたどることができます。」
通常、ユーザーの電話番号を使用して「/ SessionCreate」エンドポイントを呼び出し、ユーザーの電話番号がセッショントークンを作成し、SMS確認コードをユーザーに送信します。
「攻撃者は/ SessionCreateエンドポイントを悪用することでユーザーアカウントを乗っ取ることができます。これにより、同じユーザーに対して同じセッショントークンが一貫して返されます(まだ有効ではありません)。正当なユーザーがそのセッショントークンのSMSコードを検証すると、セッション正当なユーザーと攻撃者の両方に有効になります」とCheckmarx氏は説明しました。
Zenly Bugsは、ユーザーをデータ損失とアカウント乗っ取りにさらしました
security summary
コメント