0
(Afbeelding: foto bestand)
Security-experts waarschuwen dat miljoenen klant van Verizon jaarrekening kunnen nog steeds in gevaar na een blootstelling van gegevens door een Israëlisch bedrijf dat werkzaam is voor de telefoon reus.
Chris Vickery, directeur van de cyber risico-onderzoek bij beveiligingsbedrijf UpGuard, vond zo ‘ n 14 miljoen dossiers van de klant voor de afgelopen zes maanden op een open en onbeschermd Amazon S3 cloud-server in eind juni.
Deze gevoelige gegevens bevat miljoenen individuele klant namen, telefoonnummers en hun account PIN-code, die we bevestigd kan worden nodig door een aanvaller om toegang te krijgen tot iemands account. Dat kan leiden tot het telefoonnummer van de kaping en account overnames, zodat hackers om in te breken in iemands e-mail en social media accounts beschermd, zelfs door de twee-factor authenticatie, volgens de security-experts geïnformeerd over de blootstelling voorafgaand aan de publicatie.
Verizon zei dat een onderzoek vastgesteld dat “er geen andere externe partij toegang tot de gegevens,” maar niet zeggen hoe het tot die conclusie kwam. De redenering gaat dat als een security-onderzoeker vond de data, er is geen vertellen wie anders zou hebben gedaan.
Telefoon account gekaapt is een echt probleem omdat een mobiele accounts zijn een single point of failure, zelfs voor de meest security-minded persoon. Met drie punten — al die werden gevonden in het blootgesteld gegevens — iedereen kan bellen met een telefoon provider en proberen het call center vertegenwoordiger in het denken dat ze de account houder. Omdat er zo veel sites en diensten bieden de extra laag van een twee-factor verificatie door het sturen van een code die in een sms-bericht naar uw telefoon, wanneer een telefoon is gekaapt, dat kan.
Per Thorsheim, een wachtwoord deskundige en security-onderzoeker, noemde dit een “nachtmerrie” situatie voor de klant.
“Het verliezen van toegang tot uw telefoon kan ernstige gevolgen hebben voor wat,” zei Thorsheim. “Het ergste geval is dat verliest u toegang tot alle diensten die gebruik maken van SMS voor de twee-factor authenticatie, en tal van diensten gebruik maken van en voortgaan op SMS op dat wat wordt verondersteld een beveiligd kanaal.”
Sommige mensen helaas weten dat het je beter voelen dan anderen.
“Ik heb geprobeerd om alles te doen wat door het boek,” zei Justin Williams op de telefoon deze week. “Ik maak geen gebruik van gedeelde wachtwoorden, gebruik ik een wachtwoord manager, en ik heb een PIN op mijn AT&T account,” zei hij. En hij heeft tot twee-factor authenticatie op elke account die het ondersteunt.
En toch, vorige week, hij toch nog zijn telefoon account gekaapt en geld teruggetrokken uit zijn bankrekening.
(Bron: Justin Williams/Twitter)
Een hacker genaamd up AT&T een aantal keer om te proberen om toegang te krijgen tot Williams’ account. Zoals de meeste telefoon bedrijven, AT&T vraagt alleen een naam en een telefoonnummer om toegang te krijgen tot iemands account. In dit geval, Williams zei een AT&T call center vertegenwoordiger “brak protocol” en niet voor rekening PIN, schreef hij in een blog post na het incident. De hacker was in staat over te nemen van zijn telefoonnummer in wat bekend staat als een SIM-swap scam, en dus ook alle inkomende twee-factor authenticatie code.
Als Williams ontdekt, PayPal, die is gekoppeld aan zijn bankrekening, vereist alleen een e-mailadres en twee-factor-code wachtwoord opnieuw in te stellen.
“Sinds PayPal ondersteunt alleen SMS-verificatie op basis van de dader nodig is om te kunnen SMS-berichten ontvangen als ‘mij’ en hij was,” zei hij. Hij niet geheel de schuld van PayPal, zei hij.
Dit is niet uniek voor Williams. Het gebeurt tientallen keren per dag — en duizenden keren per maand. En toch, de dragers — wie we rekenen op meer dan wie dan ook om onze informatie veilig is — weet hoe erg het probleem is.
Lorrie Cranor, voormalig FTC chief technologist, had ook haar telefoon account gekaapt terwijl ze mid-gesprek.
“In het beste geval is het een heel gedoe zijn: je telefoon stopt met werken en het vereist een aantal telefoontjes naar de klantenservice en de afdeling fraude en een reis of twee, drie naar de telefoon winkel om alles geregeld,” zei ze. “Maar in het ergste geval, dieven kunnen het gebruik van uw mobiele telefoon-account om toegang te krijgen tot accounts van sociale netwerken, e-mailaccounts, of zelfs financiële rekeningen.”
“De mobiele telefoon providers moeten meer doen om te bezuinigen op de rekening kapen door die meerdere verificatie factoren, die buiten een PIN en een rijbewijs,” zei ze. “Ik was verbaasd dat iemand in staat was te lopen in een telefoon winkel met een nep-ID en de claim van mij en mijn vervoerder zelfs niet proberen te sms’ en of bellen met mijn telefoon om te bevestigen.”
Zij noemde het Verizon data blootstelling aan een “groot probleem” als de gegevens werd opgepikt door criminelen.
“Als er een risico dat de Pinnen werden blootgesteld, dan Verizon moeten opnieuw alle Pinnen of vragen van klanten te resetten hun Pennen met een beveiligd kanaal voordat ze weer worden gebruikt om toegang te krijgen tot hun account,” zei Cranor.
Sinds we spraken, Williams had zijn geld terug en uiteindelijk werd benaderd door de telefoon reus.
AT&T zei in een verklaring: “de Bescherming van zijn klanten en hun accounts is een top prioriteit. We hebben bereikt en dit probleem opgelost met de klant. Wij nemen dit zeer serieus en hebben verschillende veiligheidsmaatregelen en protocollen om dit te voorkomen.”
Het bedrijf merkte op dat “de protocollen werden niet gevolgd” en zal stappen ondernemen om te voorkomen dat het weer gebeurt.
“Het is een raar ding met telefoon providers; ze zijn super ongemakkelijk voelt met de identiteit van mensen,” zegt Williams. “Uw telefoonnummer is uw identiteit — mijn telefoon is mijn levenslijn aan de wereld. Toch is het frustrerend dat ze niet zo veel moeite in veiligheid. Deze bedrijven willen geen klanten te verliezen door het maken van dit spul meer ingewikkeld voor de mensen.”
“Nu, alles in aanmerking genomen, dit zou veel erger zijn,” zei hij. “De hele zaak is volkomen overtreden. Het is maar een s**t-head kind in Australië doen dit voor de slappe lach.”
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0