刚刚曩昔的一周对电信公司而言并不好过。安全研究人员现已发现了AT&T,Sprint和T-Mobile体系的安全缝隙,这些缝隙可能会让心怀叵测的人获取客户数据。
就在昨天,研究者报导了两个缝隙,导致AT&T和T-Mobile的客户信息信息易受进犯。在T-Mobile的事例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程过错”答应在线表单上进行无限次测验,这将答应黑客运用常用工具来猜想帐户PIN 或许社会安全号码的最终四位数,即所谓的暴力破解进犯。
手机保险公司Asurion及他的AT&T客户也遇到了相似的问题。 在线索赔表将答应任何具有客户电话号码的人拜访表格,也答应他们无限猜想猜想客户的暗码,使其相同简单遭到暴力破解进犯。
两家公司都及时修正了这个答应无限次提交表格的缝隙。
在本周末的另一个比如中,安全研究人员发现能够拜访Sprint的内部职工帐户的缝隙。这“得益于”职工设置的简单被猜到的弱暗码和用户名,加上缺少两层身份验证。据报导,一旦进入内部体系,研究人员就能够拜访Sprint,Boost Mobile和Virgin Mobile的各种客户帐户信息。 研究人员还陈述说,取得拜访权限的任何人都能够对客户帐户进行更改,并且客户PIN是能够暴力破解的。Sprint发言人证明了这个缝隙,并声称它不相信任何客户遭到缝隙的影响,发言人表明他们正在尽力处理这个问题。
值得注意的是,这些安全隐患、缝隙不一定会被进犯者使用。但是这些缝隙答应心怀叵测的人取得对体系的拜访权并拜访的客户数据。 这些在国际上数一数二的通信运营商的体系必定很杂乱:像AT&T,Sprint和T-Mobile这样的公司必须权衡提供职工作业的便利性,以及客户获取信息的权限。 但考虑到进犯者能够使用这些公司具有的很多数据所带来的损伤,很明显他们需要更积极主动地维护他们的客户信息。
实际上,即使进犯者使用了这些缝隙进入体系,也只能经过暴力破解方法取得用户的灵敏信息。暴力破解所需的很多时刻决议了进犯者很难短时刻内获取很多用户的灵敏信息。相较之下,在另一些手握很多用户的运营商那里,经过付出金钱或许运用权利就能够批量购买用户灵敏身份信息,恐怕是更大更亟需修补的缝隙。