 |
|
|
|
|
|
|
|
| 2003-07-22 - Allvarlig bugg i BBB IP-telefoni |
Jag har hittat en allvarlig sak när det gäller BBBs tjänst IP-Telefoni som gör att andra väldigt lätt kan få reda på inloggningskoder / personnummer vid exempelvis telefon-inloggning av banktjänster.
Jag fick nyligen hem min telefonräkning och specifikation på förra månadens samtal. Jag skummade igenom specifikationen och fick se ett telefonnummer som var på tok för långt. Detta nummer bestod av:
bankenstelefonnummer + personnummer + personligkod
Vad som hade hänt var att jag hade ringt banken en gång tidigare och loggat in (kunde även ses på specifikationen fast då som vanligt telefonnummer endast). Men efter jag lagt på så hade jag ringt upp med funktionen "Återuppringning" som finns på min telefon. Det var då som telefonen skickade iväg alla dessa siffror från föregående samtal (allt låg ju lagrat som en nummerserie i telefonen). Jag kom fram till banken med återuppringningen dock att det var "för många" siffror.
..men HUR kan BBBs faktura skriva ut denna felaktiga och VÄLDIGT känsliga informationen som ett telefonummer !.. antagligen så registreras numret man slår in i telefonen (oavsett längd) på specifikationen bara man "kommer fram" och det börjar ticka i plånboken. Som jag förstår så sparas ju alla telefonnummer av teleoperatörer i flera år framöver. Och det skulle ju vara väldigt enkelt för de som har tillgång till databasen att söka fram dessa långa nummer och missbruka detta.
Två sätt som detta är allvarligt på:
1. Att de på BBB kan snappa upp dessa koder väldigt enkelt genom att söka igenom deras databas på långa nummer.
2. Vänner som besöker mig och lånar min telefon. Vännen tycker att han kan göra sitt samtal säkert eftersom telefonen varken har display eller låter DTFM tonerna vara hörbara. Det enda jag dock behöver göra efter han är att trycka på "Återuppringning" så registreras alla knapptryckningar på specifikationen jag får i slutet på varje månad.
Hoppas de får detta åtgärdat riktigt fort !
|
|
| |
|
|
| |
|
|
|
Ads
