Aanbieder van identiteitsbescherming Lifelock heeft een eenvoudig te misbruiken kwetsbaarheid in de eigen website verholpen waardoor de e-mailadressen van miljoenen konden lekken. Gebruikers die zich wilden afmelden voor e-mailcommunicatie van het bedrijf kwamen uit op een pagina met een uniek klantnummer. Elk nummer kwam overeen met het e-mailadres van een klant en de klantnummers leken opeenvolgend te zijn.
Een aanvaller had zodoende via een eenvoudig script de e-mailadressen van alle klanten kunnen verzamelen, zo liet een onderzoeker tegen it-journalist Brian Krebs weten. De onderzoeker maakte ter demonstratie een script om e-mailadressen te verzamelen. Nadat hij 70 e-mailadressen had verzameld besloot hij te stoppen omdat hij geen alarmbellen bij het bedrijf wilde laten afgaan. LifeLock, dat naar eigen zeggen meer dan 4,4 miljoen klanten heeft, werd in 2016 voor een bedrag van 2,3 miljard dollar door Symantec overgenomen. Na te zijn ingelicht heeft het bedrijf de kwetsbaarheid verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.