刚刚过去的一周对电信公司而言并不好过。安全研究人员已经发现了AT&T,Sprint和T-Mobile系统的安全漏洞,这些漏洞可能会让别有用心的人获取客户数据。

就在昨天,研究者报道了两个漏洞,导致AT&T和T-Mobile的客户信息信息易受攻击。在T-Mobile的案例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户PIN 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。

手机保险公司Asurion及他的AT&T客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。

两家公司都及时修复了这个允许无限次提交表格的漏洞。

在本周末的另一个例子中,安全研究人员发现能够访问Sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问Sprint,Boost Mobile和Virgin Mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户PIN是可以暴力破解的。Sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。

值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像AT&T,Sprint和T-Mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。

实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-10-25 11:05:02
运营商 上海电信千兆光网全城覆盖:上海成为“千兆第一城”
10月24日,上海电信宣布完成“千兆光网”建设计划,千兆能力覆盖全市,全面实现端到端“万兆到楼 千兆到户”,上海也成为名副其实的“千兆第一城”。 <详情>
2018-10-23 10:00:36
市场情报 中国电信浙江公司和精功集团 签约合作精功杨汛桥云计算中心
2018年10月19日恰逢精功集团创立五十周年华诞,在热情洋溢、宾主欢庆的气氛中, 中国电信浙江公司和精功集团正式签署了精功杨汛桥云计算中心合作协议。 <详情>
2018-10-18 10:53:04
机房建设 机房旧服务器报废时,如何防止数据泄露,还可以变废为宝?
大数据时代,旧的服务器硬件越来越多。有一个很重要的问题,那就是任何IT设备都是有一个有限的寿命的,当这些服务器硬件旧了或者是性能不好要淘汰了,你们是怎么处理的? <详情>
2018-10-18 09:34:00
2018-10-11 10:27:12
运营商 电联合并机会极小 有可能合建5G网络
对于中国联通与中国电信的合并传闻,有业内人士认为,两家合并并不现实,而最有可能出现的情况是,中国联通与中国电信合建一张5G网络。 <详情>