刚刚过去的一周对电信公司而言并不好过。安全研究人员已经发现了AT&T,Sprint和T-Mobile系统的安全漏洞,这些漏洞可能会让别有用心的人获取客户数据。

就在昨天,研究者报道了两个漏洞,导致AT&T和T-Mobile的客户信息信息易受攻击。在T-Mobile的案例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户PIN 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。

手机保险公司Asurion及他的AT&T客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。

两家公司都及时修复了这个允许无限次提交表格的漏洞。

在本周末的另一个例子中,安全研究人员发现能够访问Sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问Sprint,Boost Mobile和Virgin Mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户PIN是可以暴力破解的。Sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。

值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像AT&T,Sprint和T-Mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。

实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-20 17:16:51
5G资讯 SK电讯宣布与瑞士电信合作推出全球首个5G漫游服务
据国外媒体报道,SK电讯(SK Telecom)宣布,与瑞士最大的电信运营商瑞士电信(Swisscom)合作,推出全球首个5G漫游服务。 <详情>
2019-07-03 15:21:34
运营商 电信云助力通信运营商网络升级转型
经过多年发展,云计算已经形成较为完整的生态体系,并逐渐切入到重点行业。在电信行业,传统运营商网络大多是以专用形态来呈现的,紧耦合的软硬件形式导致网络系统的业务“ <详情>
2019-07-01 23:07:21
运营商 发改委:取消增值电信领域三项业务对外资的限制
7月1日消息,昨日国家发展改革委、商务部联合发布《2019年版全国和自贸试验区外商投资准入负面清单》,通过本次修订进一步精简了负面清单,全国外资准入负面清单条目由48条 <详情>
2019-06-22 13:33:57
运营商 Ovum观察:电信运营商需要从根本上重组基础架构
近日,法国尼斯举行了数字化转型世界(Digital Transformation World)活动。这场活动传达出的最强烈信息,是从根本上重组基础架构和采用协作方法的需求。 <详情>
2019-06-19 15:25:22
5G终端 5G时代数字化室内覆盖将成主流,数千万量级前景可期
随着5G越来越近,室内覆盖向5G演进也成为运营商关注的焦点。由于5G时代室内业务将占据70-80%流量,运营商若率先注重室分网络部署,将大大提升其用户体验和品牌形象。 <详情>