Verizon Wireless sistemlerindeki bir güvenlik araştırmacısı tarafından keşfedilen güvenlik açıkları, bilgisayar korsanları tarafından 2 milyon müşteri sözleşmesine erişim kazanmak için kullanılmış olabilir.
İngiltere merkezli araştırmacı Daley Bee, şirket çalışanları tarafından satış noktası araçlarına erişmek ve müşteri bilgilerini görüntülemek için kullandığı görünen bir alt etki alanı ile karşılaştığında Verizon Wireless sistemlerini analiz ediyordu. Daha sonraki analizlerde, şirketin aylık taksit programını kendi cihazlarını ödemek için kullanan Verizon Wireless müşterileri için PDF formatındaki sözleşmelere işaret eden bir URL keşfetti.
Dosyalara erişmek için kimlik doğrulaması gerekliyken, uzman, URL’nin GET parametrelerinin zorla uygulanmasının ardından başlangıçta belirli bir telefon numarası ve sözleşme numarasıyla bağlantılı bir sözleşmeye erişmeyi başardı.
Araştırmacı daha sonra bu parametrelerden birinin değerini değiştirmenin farklı bir sözleşme yapacağını fark etti. Buna güvensiz bir doğrudan nesne başvurusu (IDOR-insecure direct object reference) güvenlik açığı denir ve bunlar genellikle istismara açıktır.
Açık sözleşmeler, satın alınan cihazın tam adı, adresi, telefon numarası, modeli ve seri numarası ile müşterinin imzası gibi bilgiler içeriyordu.
Araştırmacı bir blog yazısında , “Her zaman olduğu gibi, en büyük soruna yol açan, göz ardı edilen küçük ve aptalca şeyler” dedi .
Daley Bee, IDOR hatasından etkilenen parametre için yaklaşık 130000000 ile 1311999999 arasında toplam 2 milyon geçerli kombinasyon olduğunu ve her birinin bir Verizon Wireless müşteri sözleşmesine karşılık geldiğini belirledi.
Hacker, bulgularını Haziran ortasında Verizon’a bildirdi ve bir ay sonra hata düzeltildi. Araştırmacı, SecurityWeek’e Verizon Wireless hizmetlerinin bir hata ödül programı kapsamında olmadığını söyledi – Verizon, açıkları sorumlu bir şekilde ortaya koymak için bir e-posta adresi sağlar, ancak ödül vermez.
Araştırmacı, Verizon’un bulgularını doğruladığını iddia ediyor. Fakat Verizon “Herhangi bir müşteri bilgisine, onu bildiren güvenlik araştırmacısı dışında herhangi biri tarafından erişildiğine inanmak için hiçbir nedenimiz yok. ” şeklinde açıklama yaptı.