AT&T 再次大方分享會員們的資訊

來源:Errata Security
標題:AT&T provides free user information yet again
作者:Robert Graham
內文:
2010年某些灰帽駭客因為下載 ATT 網站上免費提供的有關新的 iPad 使用者的資訊而被逮捕。駭客們只不過下載了 ATT 免費提供的資訊。而 FBI 逮捕他們的理由是雖然 ATT 公布了他的資訊給所有訂閱者,但並沒有允許其他人下載整個資料庫。他們認為人們只會上網看自己的資料。

Reddit 報導了一件 新聞 是有關於 ATT 好像又重蹈覆轍的新聞。這次ATT讓所有人都可以利用某人的 email 去查詢自己手機號碼。只要你前往 忘記密碼 的頁面,輸入一個人的email,如果他剛好是 ATT 的會員,你就可以得到他的電話號碼。這個網頁看起來如下:

當你點擊 "Next",你會到另外一頁:



很明顯這功能是出於善意,為了幫助某些會忘記自己手機號碼的人。而沒想到會被別人利用。


但是壞人很容易利用來做壞事,身為駭客的原作者能夠使用命令列瀏覽器抓那些網頁,然後搜尋手機號碼存到某個檔案也是很合理的。作者寫了個批次檔"getatt.sh"剛好就能完成這些事情。(這是從 Reddit 的評論中修改出來的版本)


echo $1,`curl -d "customerEmailAddress=$1" "https://www.att.com/olam/submitSLIDEmailForgotIdSlid.myworld" -silent| grep -Po '(?<=provided \()\d*'`


當你執行 getatt.sh john.smith@example.com ,賓果! 你將得到史密斯先生的手機號碼。
=> john.smith@example.com,6782345678


更有效的利用批次檔,駭客首先要調查你的 Email,或是從某個網站"發現"你的 Email。剛好前這子擁有一百萬會員的色情網站YouPorn被駭了,數不清的 Email 正在被大家"發現"。駭客寫個指令把這些Email拿來做研究(剛好上面就有)也許能得到很多手機號碼。當然某些小網站面對百萬計的 request 會花點時間,但駭客可以睡覺之前讓指令開始工作,起床後硬碟就會塞滿 YouPorn 會員的手機號碼。(上面的指令是給你過過癮的,駭客作的更快更好。)


當然,如果你對 ATT 這樣做,ATT 會跟 FBI 告狀,FBI 會踩破你家的門然後搶走你的電腦。想一想,能夠讓其他人自由散播資訊,而逮捕下載公開資訊的你,這樣的法律是不是很悲哀。


原作者曾經在部落格報導 ATT 前一次的意外,一場根本不在 OWASP Top 10 網站缺失的意外。這意外的解決方案並不是修補 ATT 做錯的事,而是請他們住手不要再做了。這個缺失是OWASP 清單中的 #0 : 愚蠢的行為。

最後,請大家不要亂 Try 啦,ATT 已經改回來了。現在改為輸入 Email 後寄送手機號碼到 Email信箱,就像以下畫面:


留言

這個網誌中的熱門文章

資安JAVA(十一):X-XSS-Protection

資安JAVA(十):X-Content-Type-Options

資安JAVA(十二):Log Forging