Waterly应用程序可能会暴露多达100万以色列人的详细信息

许多以色列人用来支付水费或其他市政账单的移动应用程序中的漏洞可能使860,000 – 1,000,000用户面临帐户接管或信息泄露的风险。

 由MGAR Ltd开发的Waterly应用程序允许用户注册以支付水费。在此过程中，注册将为使用Pay24  服务的用户创建一个帐户  。该服务允许用户在一个帐户中查看其所有市政账单，并通过bill2mail付款。帐户信息可能包括个人代码，所拥有的财产，联系方式以及部分信用卡号（如果通过网站付款）。

研究人员估计，Pay24为超过1,000,000个帐户持有人提供服务。

该漏洞存在于bill2mail功能中，该功能于某个日期在Waterly中推出。根据发现它并要求我们不要使用其真实姓名的独立安全研究人员“ 754ch1”的说法，用户身份验证不足，允许任何人“使用他们选择的任何市政ID号码创建帐户，而无需检查确保他们确实是帐户所有者的位置。”

通过输入任何市政ID，攻击者-甚至是不小心用自己的ID进行攻击的人-均可获得他人帐户的全部特权，“ 754ch1”告诉我们：

这可能会使攻击者将所有受害者的市政帐单发送到他自己想要的电子邮件地址。此外，该违规行为（如果被滥用）暴露了许多与受害者有关的个人详细信息，包括他们的市政账单和付款历史，对城市的债务，通过电话进行身份识别的个人代码（适用于社会工程学），联系方式和信用卡输入的详细信息。

754ch1通知我们，bill2mail中的漏洞不仅影响到Waterly应用程序，还影响了也属于MAGR范围内的其他市政应用程序。

754ch1向与MAGR联系的CERT报告了此漏洞。在两周内，该漏洞已得到纠正

◆来源：databreach

◆本文版权归原作者所有，如有侵权请联系我们及时删除