0
(Billede: file foto)
Sikkerheds-eksperter advarer om, at millioner af Verizon kundernes konti kan stadig være i fare efter en eksponering af data af en Israelsk virksomhed, der arbejder for telefonen gigant.
Chris Vickery, direktør for cyber risiko forskning på vagtselskab UpGuard, fundet så mange som 14 millioner kundeoplysninger for de seneste seks måneder på en udsat og ubeskyttet Amazon S3 cloud server i slutningen af juni.
Denne følsomme data omfatter millioner af kundernes individuelle navne, telefonnumre, og deres konto PIN-kode, som vi bekræftet, er alle, der kan være behov for en hacker at få adgang til en persons konto. Der kan føre til et telefonnummer kapring og konto overtagelser, som kunne gøre det muligt for hackere at bryde ind i en persons e-mail og sociale medier konti beskyttet af to-faktor autentificering, ifølge sikkerhedseksperter orienteret om eksponering forud for offentliggørelse.
Verizon sagde, at en undersøgelse fastslået, at “ingen anden ekstern part adgang til data,” men kunne ikke sige, hvordan det kom til denne konklusion. Logikken er, at hvis en sikkerheds-forsker har fundet de data, der er ingen at fortælle, hvem der ellers kunne have gjort.
Telefon-konto, hijacking er et reelt problem, fordi cellulære regnskaber er et single point of failure for selv de mest security-minded person. Med tre punkter-som alle blev fundet i den udsatte data-alle kan kalde en telefon udbyder, og forsøge at narre call center repræsentant til at tro, at de er kontohaver. Fordi så mange websteder og-tjenester tilbyder det ekstra lag af to-faktor-kontrol ved at sende en adgangskode, som en sms-besked til telefonen, når en telefon er kapret, der kan være det.
Per Thorsheim, en adgangskode ekspert og sikkerhedsekspert, kaldes det et “mareridt” situation for kunderne.
“At miste adgang til din telefon, kan have alvorlige konsekvenser for nogle,” sagde Thorsheim. “Det værste der kan ske er, at du mister adgang til alle de tjenester, der anvender SMS til to-faktor autentificering, og utallige andre tjenester at bruge og stole på SMS om at blive, hvad der antages for at være en sikker kanal.”
Nogle mennesker desværre ved at føle sig bedre end andre.
“Jeg har prøvet at gøre alt efter bogen,” sagde Justin Williams på telefonen i denne uge. “Jeg bruger ikke fælles adgangskoder, skal jeg bruge en password manager, og jeg har en PIN-kode på mit AT&T,” sagde han. Og, han har sat op to-faktor-godkendelse på hver konto, der understøtter det.
Og alligevel, i sidste uge, fik han alligevel sin telefon konto kapret og trukket penge fra sin bankkonto.
(Kilde: Justin Williams/Twitter)
En hacker, der kaldes op AT&T flere gange for at prøve at få adgang til Williams’ konto. Som de fleste teleselskaber AT&T kræver kun et navn og et telefonnummer for at få adgang til en persons konto. I dette tilfælde, Williams, sagde en at&T call center repræsentant “brød protokol”, og ikke stille for konto PIN-kode, skrev han i et blog-indlæg efter hændelsen. Den hacker, der var i stand til at overtage hans telefon nummer i, hvad der er kendt som et SIM-swap fidus, og derfor også alle indgående to-faktor autentificering-kode.
Som Williams opdagede, PayPal, som er knyttet til hans bankkonto, der kun kræver en persons e-mail-adresse og to-faktor-kode til nulstilling af password.
“Da PayPal kun understøtter SMS-baseret godkendelse, alle gerningsmanden havde brug for var at være i stand til at modtage SMS-beskeder som “mig”, og han var i,” sagde han. Han ikke helt bebrejde PayPal, sagde han.
Dette er ikke enestående for Williams. Det sker snesevis af gange i døgnet — og tusindvis af gange pr måned. Og alligevel, de luftfartsselskaber, — hvem vi er afhængige af mere end nogen at holde vores oplysninger sikre — ved, hvor slemt problemet er.
Lorrie Cranor, tidligere FTC chief technologist, også havde hendes telefon konto kapret, mens hun var mid-ring.
“I bedste fald er det en problemfri: du telefonen holder op med at arbejde, og det kræver flere telefonopkald til kundeservice og bedrageri afdeling og en tur eller to eller tre til telefonen butik for at få sorteret alt ud,” sagde hun. “Men i værste tilfælde, at tyve kan bruge din mobiltelefon konto for at få adgang til sociale netværk, e-mail-konti, eller endda finansielle konti.”
“En mobiltelefon luftfartsselskaber bør gøre mere for at skære ned på konti ved at kræve flere godkendelse faktorer, ud over en PIN-kode og et kørekort,” sagde hun. “Jeg var overrasket over, at nogen var i stand til at gå ind i en telefon butik med et falsk ID og hævder at være mig og min transportøren ikke selv forsøge at sms eller ringe på min telefon for at bekræfte.”
Hun kaldte på Verizon data eksponering et “stort problem”, hvis de data, der blev samlet op af kriminelle.
“Hvis der er en risiko for, at Benene var udsat for, da Verizon bør nulstille alle Stifter eller kræver kunder til at nulstille deres Ben ved hjælp af en sikker kanal, før de bruges igen for at få adgang til deres konto,” sagde Cranor.
Da vi talte, Williams havde sine penge refunderet, og til sidst blev kontaktet af telefonen gigant.
AT&T sagde i en erklæring: “for at Beskytte kunderne og deres regnskaber er en top prioritet. Vi har nået ud og løst dette problem med kunden. Vi tager dette meget alvorligt og har forskellige sikkerhedsforanstaltninger og-protokoller til at forhindre dette.”
Selskabet bemærkede, at “protokollerne ikke blev fulgt,” og vil tage skridt til at forhindre, at det sker igen.
“Det er en underlig ting med telefon udbydere, de er super tilfreds med at være den identitet, af folk,” sagde Williams. “Dit telefonnummer er din identitet — min telefon er min livline til verden. Alligevel er det frustrerende, at de ikke lægge så meget arbejde i sikkerhed. Disse virksomheder ønsker ikke at miste kunder ved at gøre det her mere kompliceret for mennesker.”
“Lige nu, alt taget i betragtning, dette kunne have været meget værre,” sagde han. “Det hele er aldeles overtræder. Det er bare noget s**t-head barn i Australien at gøre dette for fniser.”
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UNDERSØGELSER
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Ved den AMERIKANSKE grænse: Diskrimineret, tilbageholdt, søgte forhørt
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans
Med en enkelt telefonaflytning for de AMERIKANSKE myndigheder lyttede på 3,3 mio telefonopkald
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
0