據TheVerge消息,AT&T、Sprint和T-Mobile等國際運營商的系統存在安全缺陷,這些漏洞可導致用戶數據被盜。
BuzzFeed報道了兩個缺陷,可導致AT&T和T-Mobile的客戶信息容易受到攻擊。 在T-Mobile的案例中,蘋果在線店與T-Mobile的帳戶驗證API之間的“工程錯誤”允許在線表單上進行無限次嘗試,這將允許黑客使用常用工具來猜測帳戶PIN 或者社保安全號碼的最後四位數。
電話保險公司Asurion和AT&T的客戶也發生了類似的問題。在線索賠表單將允許任何具有客戶電話號碼的人訪問表單,該表單允許他們無限制地猜測客戶的密碼。目前兩家公司都及時修復了這個允許無限次提交表格的漏洞。
除AT&T外,Sprint的內部員工帳戶也出現了漏洞。研究人員發現Sprint員工設置的用戶名和密碼較為簡單容易被猜到,此外缺乏雙重身份驗證。黑客一旦進入內部系統就可以訪問Sprint,Boost Mobile和Virgin Mobile的各種客戶帳戶信息。 研究人員還報告說,獲得訪問權限的任何人都可以對客戶帳戶進行更改,並且客戶PIN是可以暴力破解的。Sprint發言人證實了這個漏洞,並聲稱它不相信任何客戶受到漏洞的影響,發言人表示他們正在努力解決這個問題。
分享到:
閱讀更多 通信觀察 的文章
