上周末,一些网络安全人员发现AT&T、Sprint和T-Mobile三大美国运营商的系统存在安全漏洞,导致不良分子可以获取用户数据。
具体到T-Mobile,苹果在线商店与T-Mobile帐户的验证API允许不限次数尝试一个在线表格,使得黑客可以使用一些常用的工具通过暴力破解来猜测某个帐户的PIN或社会安全号的最后四位数。
电话保险公司Asurion与其AT&T客户之间也存在类似的问题。该公司的一份网上索赔表可以让任何拥有客户电话号码的人获取一张表格,使之能够无限次地猜测客户密码,因而很容易展开暴力破解。
但在BuzzFeed News曝光此事后,这两家公司均表示已经修复上述漏洞。
与此同时,美国科技博客TechCrunch也报道称,研究人员可以利用常见的用户名和密码进入Sprint内部员工门户,而且该门户还缺乏两步验证措施。一旦进入该门户,研究人员便可获取Sprint、Boost Mobile和Virgin Mobile的客户信息。获得此项权限的人可以修改客户帐户,也可以暴力破解客户PIN。
Sprint发言人证实确实存在这一漏洞,但他们不认为有客户受到实际影响。该公司同时指出,他们正在努力修复这一问题。
值得注意的是,存在漏洞未必意味着数据泄露,但这的确会增加数据泄露风险。
|