0
(Bild: en fil foto)
Säkerhetsexperter varnar för att miljontals Verizon kunders konton kan fortfarande vara i fara efter att en data exponering av ett Israeliskt företag som arbetar för mobiljätten.
Chris Vickery, chef för it-risk för forskning vid bevakningsföretag UpGuard, finns så många som 14 miljoner kundregister för de senaste sex månaderna om en utsatt och oskyddad Amazon S3 cloud server i slutet av juni.
Denna känsliga data innehåller miljontals enskilda kundens namn, telefonnummer och deras konto PIN-kod, som vi bekräftat är allt som kan krävas av en angripare för att få tillgång till en persons konto. Som kan leda till telefonnummer kapning och konto uppköp, vilket kunde göra det möjligt för hackare att bryta sig in i en persons e-post och sociala medier-konton som skyddas även av två-faktor autentisering, enligt säkerhetsexperter informerade om exponering före publicering.
Verizon sade att en utredning konstaterat att “ingen extern part har använt data,” men säger inte hur det kom till denna slutsats. Logiken säger att om en säkerhet forskare funnit data, det går inte att säga vem annars skulle ha gjort.
Telefonen konto kapning är ett verkligt problem, eftersom cellulära konton är ett enstaka fel för även de mest säkerhet sinnade personer. Med tre datapunkter-allt som fanns i den exponerade data — vem som helst kan ringa upp en telefon leverantör och försöker lura call center företrädare att tro att de är kontohavaren. Eftersom så många webbplatser och tjänster erbjuder ytterligare lager av två-faktor kontroll genom att skicka en kod som ett sms till din telefon, när en telefon är kapat, som kan vara det.
Per Thorsheim, ett lösenord expert och säkerhet forskare, kallas detta en “mardröm” – situation för kunderna.
“Att förlora tillgång till din telefon kan ha allvarliga konsekvenser för en del,” sade Thorsheim. “Det värsta är att du förlorar åtkomst till alla tjänster som använder SMS för två-faktor autentisering, och otaliga är de tjänster som använder och förlitar sig på SMS på vad som antas vara en säker kanal”.
Vissa människor tyvärr vet den känslan bättre än andra.
“Jag har försökt att göra allt som står i boken,” sade Justin Williams på telefonen denna vecka. “Jag använder inte delade lösenord, använder jag ett password manager, och jag har en PIN-kod på mitt AT&T konto”, sade han. Och, han har satt upp två-faktor autentisering på varje konto som har stöd för det.
Och ändå, i förra veckan, han har fortfarande sin telefon-konto kapat och pengar dragits från hans konto.
(Källa: Justin Williams/Twitter)
En hacker som heter upp AT&T flera gånger för att försöka få tillgång till Williams konto. Som de flesta företag telefon AT&T kräver endast ett namn och ett telefonnummer för att få tillgång till en persons konto. I det här fallet, säger Williams en AT&T-call center-representant “bröt protokoll” och inte frågar efter PIN-konto, skrev han i ett blogginlägg efter händelsen. Hackare kunde ta över hans telefonnummer i vad som är känt som en SIM-swap bluff, och därför också alla inkommande två-faktor autentisering kod.
Som Williams upptäckte, PayPal, som är kopplat till hans bankkonto, kräver endast en persons e-postadress och två-faktor-kod för att återställa lösenordet.
“Eftersom PayPal endast stöder SMS-baserad autentisering, alla förövare som behövs för att kunna ta emot SMS-meddelanden som” mig ” och han var i,” sade han. Att han inte helt och hållet skylla på PayPal, sade han.
Detta är inte unikt för Williams. Det händer massor av gånger per dag — och tusentals gånger per månad. Och ändå bärare-som vi litar på mer än någon annan för att hålla vår information säker-veta hur stort problemet är.
Lorrie Cranor, tidigare FTC chief technologist, också hade hennes telefon-konto kapat medan hon var i mitten av samtalet.
“I bästa fall är det ett problem: du telefonen slutar att fungera och det krävs flera telefonsamtal till kundtjänst och bedrägeri avdelning och en resa eller två eller tre till telefonen butik för att få allt sorteras ut,” sade hon. “Men i värsta fall, tjuvar kan använda din mobiltelefon konto för att få tillgång till konton för sociala nätverk, e-postkonton, eller ens bokslut.”
“De mobiloperatörer borde göra mer för att skära ner på konto kapning genom att kräva flera autentisering faktorer, utöver en PIN-kod och ett körkort”, sa hon. “Jag var förvånad över att någon kunde gå in i en telefon butik med en falsk ID och göra anspråk på att vara mig och min karriär inte ens försöka sms: a eller ringa till min telefon för att bekräfta.”
Hon kallas Verizon data exponering som ett “stort problem” om de uppgifter som plockades upp av brottslingar.
“Om det finns en risk att Stiften var utsatt, då Verizon bör ta bort alla Stift eller kräver kunderna att återställa sina PINs med hjälp av en säker kanal innan de används igen för att få tillgång till deras konto,” sade Cranor.
Eftersom vi talade, Williams hade sina pengar tillbaka och var så småningom kontaktas av mobiljätten.
AT&T sade i ett uttalande: “för att Skydda kunderna och deras konton är av högsta prioritet. Vi har nått ut och löst det här problemet med kunden. Vi tar detta på största allvar och har olika säkerhetsåtgärder och protokoll för att förhindra detta.”
Företaget konstaterade att “protokoll följde inte upp” och kommer att vidta åtgärder för att förhindra att det händer igen.
“Det är en konstig sak med telefon leverantörer, de är super obekväma med att vara den identitet av människor,” sade Williams. “Ditt telefonnummer är din identitet — min telefon är min livlina till världen. Men ändå, det är frustrerande att de inte lägga så mycket kraft på säkerhet. Dessa företag vill inte förlora kunder genom att göra dessa saker mer komplicerat för människor.”
“Just nu, alla som anses saker, det kunde ha varit mycket värre”, sade han. “Det hela är fullständigt bryta mot. Det är bara några s**t-chef barn i Australien gör det här för skratt.”
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0