0
(Bild: Datei Foto)
Security-Experten warnen, dass Millionen von Verizon-Kunden können Konten immer noch in Gefahr sein, nachdem sich eine Daten Exposition eine israelische Firma arbeitet für den Telefon-Riesen.
Chris Vickery, Leiter der cyber-Risiko-Forschung bei der Sicherheitsfirma UpGuard, gefunden, so viele wie 14 Millionen Kunden-Datensätze für die vergangenen sechs Monate auf einem exponierten und ungeschützten Amazon S3 cloud-server im späten Juni.
Dieser sensible Daten enthält Millionen von individuellen Kunden-Namen, Telefonnummern, und Ihre Konto-PIN, die wir bestätigt, ist alle, die erforderlich sein können, die von einem Angreifer Zugriff auf eine person das Konto. Das führt dazu, Telefonnummer hijacking und account-übernahmen, die es ermöglicht Hackern den Einbruch in eine person, die E-Mail-und social-media-Konten auch geschützt durch zwei-Faktor-Authentifizierung, laut security-Experten informiert über die Belichtung vor der Veröffentlichung.
Verizon sagte, dass eine Untersuchung festgestellt, dass “keine andere fremde auf die Daten zugreifen,” aber nicht sagen, wie es zu diesem Schluss gekommen. Die Logik ist, dass, wenn ein Sicherheits-Forscher fanden die Daten, es ist nicht abzusehen, wer sich sonst noch getan haben könnte.
Telefon Konto-hijacking ist ein echtes problem, weil die Mobilfunk-Konten sind ein single point of failure, die auch die security-minded person. Mit drei Daten-Punkte-von denen alle wurden gefunden in der exponierten Daten — jeder kann rufen Sie eine Handy-Anbieter, und versuchen Sie auszutricksen, call-center-Vertreter zu denken, Sie sind der Kontoinhaber. Weil so viele Websites und Dienste bieten, die die zusätzliche Schicht der zwei-Faktor-Verifizierung durch Zusendung eines passcode als SMS-Nachricht auf Ihr Handy, sobald ein Telefon ist entführt, dass kann es sein.
Per Thorsheim, ein Passwort-Experte und Sicherheitsforscher, nannte dies ein “Albtraum” – situation für die Kunden.
“Der Verlust der Zugriff auf Ihr Telefon haben schwerwiegende Folgen für einige”, sagte Thorsheim. “Der Schlimmste Fall ist, dass Sie verlieren den Zugriff auf alle Dienste, die Verwendung von SMS für die zwei-Faktor-Authentifizierung, und zahllose Dienste verwenden und verlassen sich auf SMS an, was wird angenommen, dass Sie einen sicheren Kanal.”
Einige Menschen leider wissen, dass Gefühl, besser als andere.
“Ich habe versucht, alles zu tun, durch das Buch”, sagte Justin Williams auf dem Handy in dieser Woche. “Ich glaube nicht, verwenden Sie gemeinsam genutzte Passwörter, ich benutze einen Passwort-manager, und ich habe einen PIN auf mein AT&T-Konto”, sagte er. Und er hat die zwei-Faktor-Authentifizierung auf jedes Konto, die Sie unterstützt.
Und doch, Letzte Woche hat er noch sein Handy-Konto gekapert und Geld zurückgezogen von seinem bank-Konto.
(Quelle: Justin Williams/Twitter)
Ein hacker namens bis AT&T mehrmals, um zu versuchen, um Zugang zu Williams’ Konto. Wie die meisten Handy-Unternehmen AT&T erfordert nur einen Namen und eine Telefonnummer, um Zugang zu einer person Konto. In diesem Fall, Williams, sagte ein AT&T call-center-Vertreter “brach-Protokoll” und nicht Fragen, für die Konto-PIN, schrieb er in einem blog-post nach dem Vorfall. Die hacker in der Lage war, über seine Telefonnummer in dem, was ist bekannt als eine SIM-swap Betrug, und daher auch keine eingehenden zwei-Faktor-Authentifizierung code.
Als Williams entdeckt, PayPal, die Verbindung zu seinem Bankkonto, benötigt nur eine person, die E-Mail-Adresse und die zwei-Faktor-code, um ein Kennwort zurückzusetzen.
“Da nur PayPal unterstützt SMS-basierten Authentifizierung, die alle den Täter nötig war, um in der Lage sein, SMS-Nachrichten erhalten, wie” ich “und er war”, sagte er. Er hat nicht ganz die Schuld von PayPal, sagte er.
Dies ist nicht eindeutig zu Williams. Es passiert Dutzende Male pro Tag-und tausend mal pro Monat. Und doch, die Anbieter -, die wir verlassen sich auf die mehr als jeder andere, um unsere Daten zu sichern, — wissen, wie schlimm das problem ist.
Lorrie Cranor, frühere FTC-Chef-Technologe, hatte auch Ihr Handy-Konto gekapert, während Sie Mitte nennen.
“Im besten Fall ist es ein Akt: das Telefon funktioniert nicht mehr und es erfordert mehrere Anrufe zu Kunden-service und die Betrug-Abteilung und eine Reise oder zwei oder drei, um das Telefon zu speichern, um alles aussortiert”, sagte Sie. “Aber im schlimmsten Fall Diebe können Ihre Handy-Konto, um Zugriff auf social network-Konten, E-Mail-Konten, oder sogar zu finanziellen Konten.”
“Die Mobilfunk-Anbieter sollte mehr tun, um zu schneiden nach unten auf account-hijacking durch, die mehrere Faktoren-Authentifizierung über einen PIN und einen Führerschein”, sagte Sie. “Ich war erstaunt, dass jemand in der Lage zu gehen in ein Handy-Shop mit einer gefälschten ID und behaupten, ich zu sein und mein Träger hat nicht einmal versuchen, text oder rufen Sie mein Handy, um zu bestätigen.”
Sie rief die Verizon-Daten-Exposition ein “erhebliches problem”, wenn die Daten abgeholt wurde von kriminellen.
“Wenn die Gefahr besteht, dass die Stifte wurden ausgesetzt, dann Verizon zurücksetzen sollten Sie alle Stifte oder benötigen die Kunden zum zurücksetzen Ihrer Pin über einen sicheren Kanal, bevor Sie verwendet werden wieder auf Ihr Konto zugreifen,” sagte Cranor.
Da wir Sprach, Williams hatte sein Geld zurückerstattet, und schließlich wurde die Kontaktaufnahme durch das Telefon-Riesen.
AT&T, sagte in einer Erklärung: “Schutz der Kunden und deren Konten, ist eine top-Priorität. Wir haben erreicht und gelöst wird dieses Problem mit dem Kunden. Wir nehmen dies sehr ernst und haben verschiedene Sicherheitsmaßnahmen und-Protokolle, dies zu verhindern.”
Das Unternehmen stellte fest, dass “die Protokolle nicht befolgt wurden” und werden Schritte unternommen, um zu verhindern, dass es wieder passiert.
“Es ist eine seltsame Sache mit den Telefon-Anbieter; Sie sind super unbequem mit der Identität von Menschen”, sagte Williams. “Ihre Telefonnummer ist Ihre Identität-mein Handy ist mein Nabel der Welt. Doch, es ist frustrierend, dass Sie nicht so viel Mühe in die Sicherheit. Diese Unternehmen wollen nicht, Kunden zu verlieren, indem Sie dieses Zeug mehr kompliziert für die Menschen.”
“Gerade jetzt, alle Dinge betrachtet, könnte dies schon ein viel Schlimmeres”, sagte er. “Das ganze ist schlichtweg zu verletzen. Es ist nur ein paar s**t-head kid in Australien dabei kichert.”
Kontaktieren Sie mich sicher
Zack Whittaker erreicht werden kann sicher auf das Signal und WhatsApp auf 646-755-8849, und seine PGP-fingerprint für E-Mail ist: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UNTERSUCHUNGEN
Durchgesickert TSA-Dokumente enthüllen Flughafen in New York die Welle der Sicherheitslücken
US-Regierung geschoben tech-Unternehmen zu übergeben source code
An der US-Grenze: Diskriminiert, inhaftiert, durchsucht und verhört
Millionen von Verizon-Kunden-Datensätze ausgesetzt Sicherheitslücken
Treffen die düsteren tech-Broker liefern Sie Ihre Daten an die NSA
In der globalen terror-watchlist, die heimlich Millionen Schatten
FCC-Vorsitzenden gewählt zu verkaufen, Ihren browsing-Verlauf — so fragten wir, um zu sehen, seine
Mit einem einzigen wiretap Auftrag, den US-Behörden abgehört 3,3 Millionen Anrufe
198 Millionen Amerikaner Treffer von ‘größte’ Wähler-Leck records
Großbritannien bestanden hat der ‘most extreme überwachung Gesetz jemals verabschiedet in einer Demokratie”
Microsoft sagt “keine bekannten ransomware’ läuft auf Windows-10 S — so haben wir versucht, es zu hacken
Durchgesickerten Dokument zeigt, Großbritannien Pläne für eine breitere internet-überwachung
0