对于电信公司而言,这并不是一个理想的一周:安全研究人员已经发现了AT&T,Sprint和T-Mobile系统的安全漏洞,这些漏洞可能会让黑客访问客户数据。
昨天,BuzzFeed News报道了两个漏洞,导致AT&T和T-Mobile的客户信息易受攻击。在T-Mobile的案例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户PIN或者客户社会安全号码的最后四位数,即所谓的暴力攻击。
手机保险公司Asurion及其AT&T客户也遇到了类似的问题。在线索赔表将允许任何拥有客户电话号码的人访问表格,允许他们无限猜测猜测客户的密码,使其容易受到另一次暴力攻击。
这些情况,两家公司都在BuzzFeed News联系时修复了这些漏洞。
在本周末的另一个例子中,TechCrunch报告说安全研究人员能够访问Sprint的内部员工门户,因为“弱,易用的用户名和密码”,加上缺乏双因素身份验证。据报道,一旦进入,研究人员就可以访问Sprint,Boost Mobile和Virgin Mobile的客户帐户信息。研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户PIN可能是强制性的。Sprint发言人证实了TechCrunch的漏洞,并指出它不相信任何客户受到漏洞的影响,并指出他们正在努力解决这个问题。
值得注意的是,漏洞不一定是漏洞,但是这些漏洞允许不良参与者获得对系统的访问权并利用他们访问的客户数据。这些系统必然很复杂:像AT&T,Sprint和T-Mobile这样的公司必须平衡提供员工访问工作的机会,以及客户获取信息的权限。但考虑到恶意行为者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户。
领取专属 10元无门槛券
私享最新 技术干货