刚刚过去的一周对电信公司而言并不好过。安全研究人员已经发现了AT&T,Sprint和T-Mobile系统的安全漏洞,这些漏洞可能会让别有用心的人获取客户数据。

就在昨天,研究者报道了两个漏洞,导致AT&T和T-Mobile的客户信息信息易受攻击。在T-Mobile的案例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户PIN 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。

手机保险公司Asurion及他的AT&T客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。

两家公司都及时修复了这个允许无限次提交表格的漏洞。

在本周末的另一个例子中,安全研究人员发现能够访问Sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问Sprint,Boost Mobile和Virgin Mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户PIN是可以暴力破解的。Sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。

值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像AT&T,Sprint和T-Mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。

实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-10-19 17:07:19
市场情报 12月7-9日 一展看遍通信新趋势 聚焦电信与数通市场新发展
第24届中国国际光电博览会新展期定档于12月7-9日在深圳国际会展中心(宝安新馆)举办,展会展示规模达22万平方米,汇聚3000家展商,逾10万的观众参观。 <详情>
2022-01-10 10:11:10
运维管理 摩根士丹利“重大错误”:未及时处理服务器数据
此次事件要追溯至2016年,多达1,500万用户对摩根士丹利进行控诉,原因在于2016年当摩根士丹利决定关闭其位于美国且用于管理业务部门的数据中心时,没有及时地将机房服务器 <详情>
2021-06-24 08:59:00
大数据资讯 数据爬取亟需规范 平台又该承担何责?
目前,我国尚未有针对网络爬虫技术的配套法律法规。多重纠纷之下,网络爬虫的使用边界正在被规范。 <详情>
2021-06-09 09:09:53
大数据资讯 勒索软件黑客攻击了又一家管道公司 70GB数据已经泄露
当勒索软件黑客上个月攻击Colonial Pipeline并关闭了美国东海岸大部分地区的天然气输送时,世界意识到石化管道行业被黑客破坏的危险。 <详情>
2021-05-20 10:20:42
大数据资讯 2021年数据泄露调查报告:85%的数据泄露涉及人的因素
数据泄露调查报告中的每个行业在安全上都存在自身特有的细微差异。例如,金融和保险行业被盗数据中83%都是个人数据。医疗保健行业深受电子病历或纸质文件误投的困扰。而在 <详情>