國(guó)外運(yùn)營(yíng)商被曝系統(tǒng)漏洞 可能泄露用戶數(shù)據(jù)

發(fā)布: 2018-08-26 21:46 | 作者: | 來(lái)源: 網(wǎng)易科技報(bào)道 | 字體:       

MSCBSC訊8月26日消息,剛剛過(guò)去的一周對(duì)電信公司而言并不好過(guò)。安全研究人員已經(jīng)發(fā)現(xiàn)了AT&T,Sprint和T-Mobile系統(tǒng)的安全漏洞,這些漏洞可能會(huì)讓別有用心的人獲取客戶數(shù)據(jù)。

就在昨天,研究者報(bào)道了兩個(gè)漏洞,導(dǎo)致AT&T和T-Mobile的客戶信息信息易受攻擊。 在T-Mobile的案例中,Apple的在線店面與T-Mobile的帳戶驗(yàn)證API之間的“工程錯(cuò)誤”允許在線表單上進(jìn)行無(wú)限次嘗試,這將允許黑客使用常用工具來(lái)猜測(cè)帳戶PIN 或者社會(huì)安全號(hào)碼的最后四位數(shù),即所謂的暴力破解攻擊。

手機(jī)保險(xiǎn)公司Asurion及他的AT&T客戶也遇到了類似的問(wèn)題。 在線索賠表將允許任何擁有客戶電話號(hào)碼的人訪問(wèn)表格,也允許他們無(wú)限猜測(cè)猜測(cè)客戶的密碼,使其同樣容易受到暴力破解攻擊。

兩家公司都及時(shí)修復(fù)了這個(gè)允許無(wú)限次提交表格的漏洞。

在本周末的另一個(gè)例子中,安全研究人員發(fā)現(xiàn)能夠訪問(wèn)Sprint的內(nèi)部員工帳戶的漏洞。這“得益于”員工設(shè)置的容易被猜到的弱密碼和用戶名,加上缺乏雙重身份驗(yàn)證。據(jù)報(bào)道,一旦進(jìn)入內(nèi)部系統(tǒng),研究人員就可以訪問(wèn)Sprint,Boost Mobile和Virgin Mobile的各種客戶帳戶信息。 研究人員還報(bào)告說(shuō),獲得訪問(wèn)權(quán)限的任何人都可以對(duì)客戶帳戶進(jìn)行更改,并且客戶PIN是可以暴力破解的。Sprint發(fā)言人證實(shí)了這個(gè)漏洞,并聲稱它不相信任何客戶受到漏洞的影響,發(fā)言人表示他們正在努力解決這個(gè)問(wèn)題。

值得注意的是,這些安全隱患、漏洞不一定會(huì)被攻擊者利用。但是這些漏洞允許別有用心的人獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)并訪問(wèn)的客戶數(shù)據(jù)。 這些在國(guó)際上數(shù)一數(shù)二的通信運(yùn)營(yíng)商的系統(tǒng)必然很復(fù)雜:像AT&T,Sprint和T-Mobile這樣的公司必須權(quán)衡提供員工工作的便利性,以及客戶獲取信息的權(quán)限。 但考慮到攻擊者可以利用這些公司擁有的大量數(shù)據(jù)所帶來(lái)的傷害,很明顯他們需要更積極主動(dòng)地保護(hù)他們的客戶信息。

實(shí)際上,即便攻擊者利用了這些漏洞進(jìn)入系統(tǒng),也只能通過(guò)暴力破解方式獲得用戶的敏感信息。暴力破解所需的大量時(shí)間決定了攻擊者很難短時(shí)間內(nèi)獲取大量用戶的敏感信息。相較之下,在另一些手握大量用戶的運(yùn)營(yíng)商那里,通過(guò)支付金錢或者使用權(quán)力就可以批量購(gòu)買用戶敏感身份信息,恐怕是更大更亟需修補(bǔ)的漏洞。

(馬克克)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息