Недостатки в системах управления доступом и проверки подлинности, обнаруженные компанией по безопасности Rapid7, обеспечивали хакерам возможность доступа к персональным данным пользователей Fuze. Уязвимости позволяли получить доступ к номерам телефонов, адресам электронной почты, имени родительской учетной записи и ссылке на административный интерфейс.

Первая уязвимость вызвана недостаточным контролем доступа во время вывода конфиденциальных данных. Злоумышленник мог просмотреть важные данные других пользователей Fuze путем перебора MAC-адресов.

Вторая ошибка заключалась в недостаточном ограничении чрезмерных попыток аутентификации. Злоумышленники могли успешно осуществить брутфорс-атаку и подобрать логины и пароли.

Последний из трех недостатков состоял в использовании HTTP-протокола вместо HTTPS для авторизации пользователей.

Fuze предлагает предприятиям мультиплатформенный сервис для звонков, обмена сообщениями и совместной работы. В начале мая компания устранила все три уязвимости и дала Rapid7 разрешение опубликовать исследование в своем блоге.