Исследователи из Rapid 7 обнаружили ряд уязвимостей в работе сервиса.
Недостатки в системах управления доступом и проверки подлинности, обнаруженные
компанией побезопасности Rapid7, обеспечивали хакерам возможность доступа к персональным даннымпользователейFuze.Уязвимости позволяли получить доступ к номерамтелефонов,адресамэлектронной почты, имени родительской учетной записи и ссылкена административный интерфейс.
Первая уязвимость вызвананедостаточным контролем доступаво время вывода конфиденциальных данных. Злоумышленник мог просмотреть важные данные других пользователей Fuze путем перебораMAC-адресов.
Вторая ошибка заключалась в недостаточном ограничении чрезмерных попыток аутентификации. Злоумышленники могли успешно осуществить брутфорс-атаку и подобрать логины и пароли.
Последний из трех недостатков состоял в использовании HTTP-протоколавместо HTTPS для авторизации пользователей.
Fuze предлагает предприятиям мультиплатформенный сервис для звонков, обмена сообщениями и совместной работы. В начале мая компания устранила все три уязвимостии далаRapid7 разрешение опубликовать исследование в своем блоге.