• QQ空间
  • 收藏

国外运营商被曝系统漏洞可能泄露用户数据

| 2019-09-22

刚刚过去的一周对电信公司而言并不好过。安全研究人员已经发现了AT&T,Sprint和T-Mobile系统的安全漏洞,这些漏洞可能会让别有用心的人获取客户数据。

就在昨天,研究者报道了两个漏洞,导致AT&T和T-Mobile的客户信息信息易受攻击。 在T-Mobile的案例中,Apple的在线店面与T-Mobile的帐户验证API之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户PIN 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。

手机保险公司Asurion及他的AT&T客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。

两家公司都及时修复了这个允许无限次提交表格的漏洞。

在本周末的另一个例子中,安全研究人员发现能够访问Sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问Sprint,Boost Mobile和Virgin Mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户PIN是可以暴力破解的。Sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。

值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像AT&T,Sprint和T-Mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。

实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。

2019-10-17
物联网 移动安全:恶意二维码与Rootkits最具杀伤力
【编者按:与食品安全的深加工类似,二维码与短网址类似,让你无法通过URL初步判断“食材”来源,在无处不在的移动应用中,这一点被黑客利用将产生极大的危害性。此外臭... <详情>
2019-10-17
物联网 美国法学教授:不明确的加密货币监管法规将阻碍创新
九个亿财经消息——Carol Goforth是阿肯色大学法学院的教授。她最近发表了一篇关于美国各权威机构定义的一系列相互冲突的加密货币监管法规可能造成的后果的论... <详情>
2019-10-17
物联网 第四范式完成超10亿元C轮融资,农行、交行新入局
[ 导读 ] 消息,12月19日,第四范式宣布已于近期完成C轮融资,融资金额超过10亿元,红杉中国继续追加投资,同时引入包括国新、启迪、保利、三峡、中信、农银... <详情>
2019-10-17
物联网 曝苹果收购AI摄像头专利 以改进面部识别技术
  【环球网科技综合报道】据美国科技网站The Verge 3月5日报道,人工智能安全摄像头公司Lighthouse现已停产,但苹果公司在2018年底收购了其专... <详情>
2019-10-17
物联网 马斯克:特斯拉所有库存汽车4月2日凌晨涨价3%
  马斯克表示,每一家汽车厂商都经常调整旗下汽车价格,只不过消费者并不关心这些厂商,但特斯拉一直都是媒体的焦点。   特斯拉官方对于涨价的说法是,因为公司决定... <详情>
2019-10-17
物联网 坦克型巡逻机器人警察亮相 时速最快可达10公里
  8月2日,北京,在王府井大街南口,一个像小坦克一样正在到处转悠的机器人成了街头一景。原来,这是王府井大街刚刚上岗的“安巡士”巡逻机器... <详情>