北京時間8月28日下午消息,上週末,一些網絡安全人員發現AT&T、Sprint和T-Mobile三大美國運營商的系統存在安全漏洞,導致不良分子可以獲取用戶數據。
具體到T-Mobile,蘋果在線商店與T-Mobile帳戶的驗證API允許不限次數嘗試一個在線表格,使得黑客可以使用一些常用的工具通過暴力破解來猜測某個帳戶的PIN或社會安全號的最後四位數。
電話保險公司Asurion與其AT&T客戶之間也存在類似的問題。該公司的一份網上索賠表可以讓任何擁有客戶電話號碼的人獲取一張表格,使之能夠無限次地猜測客戶密碼,因而很容易展開暴力破解。
但在BuzzFeed News曝光此事後,這兩家公司均表示已經修復上述漏洞。
與此同時,美國科技博客TechCrunch也報道稱,研究人員可以利用常見的用戶名和密碼進入Sprint內部員工門戶,而且該門戶還缺乏兩步驗證措施。一旦進入該門戶,研究人員便可獲取Sprint、Boost Mobile和Virgin Mobile的客戶信息。獲得此項權限的人可以修改客戶帳戶,也可以暴力破解客戶PIN。
Sprint發言人證實確實存在這一漏洞,但他們不認為有客戶受到實際影響。該公司同時指出,他們正在努力修復這一問題。
值得注意的是,存在漏洞未必意味著數據洩露,但這的確會增加數據洩露風險。
分享到:
閱讀更多 中經TMT 的文章
