Het was geen goede week voor telecommunicatie bedrijven: beveiligingsonderzoekers hebben ontdekt beveiligingsfouten met systemen bij at&T, Sprint en T-Mobile die kan hebben verlaten klant gegevens toegankelijk te maken voor slechte acteurs.
Gisteren, BuzzFeed Nieuws meldt dat twee gebreken die links klant informatie kwetsbaar bij at&T en T-Mobile. In de T-Mobile het geval van een “engineering fout” tussen Apple ‘ s online winkel en T-Mobile account validation API toegestaan voor een onbeperkt aantal pogingen op een online formulier, waarmee een hacker gebruik van algemeen beschikbare gereedschappen aan te raden een account PIN-code of de laatste vier cijfers in van een klant sofi-nummer, in wat heet een brute-force aanval.
Een vergelijkbaar probleem opgetreden met telefoon verzekering bedrijf Asurion en de AT&T-klanten. Een online schadeformulier zou toestaan dat iemand met de telefoon van een klant nummer in voor het openen van een formulier dat konden ze onbeperkt gissingen te raden een klant van het wachtwoord, waardoor het kwetsbaar voor andere brute-force aanval.
Eenmaal gemeld, AT&T en T-Mobile de problemen opgelost
In elk geval zijn beide bedrijven bevestigd, kan de kwetsbaarheden wordt benaderd door BuzzFeed Nieuws.
In een ander exemplaar van dit weekend, TechCrunch gemeld dat de beveiliging onderzoekers waren in staat om toegang te krijgen tot een intern personeel portal op de Sprint vanwege de zwakke, eenvoudig te gebruiken gebruikersnamen en wachtwoorden,” vermengd met het ontbreken van twee-factor authenticatie. Eens in, de onderzoeker was naar verluidt in staat om toegang te krijgen tot de accountgegevens van de klant voor de Sprint, Boost Mobile en Virgin Mobile. De onderzoeker vertelde ook dat iedereen die toegang zou kunnen maken van wijzigingen aan de klant accounts, en dat de klant Pinnen kan worden brute-gedwongen. Een Sprint woordvoerder bevestigde de kwetsbaarheid TechCrunch, en merkte op dat het niet te geloven dat alle klanten werden getroffen door de kwetsbaarheid, en merkte op dat ze werken aan een oplossing voor het probleem.
Het is vermeldenswaard dat de kwetsbaarheden zijn niet noodzakelijkerwijs de inbreuken, maar het is kwetsbaarheden, zoals deze waarmee slechte acteurs om toegang te krijgen tot een systeem en gebruik maken van de gegevens van de klant dat ze toegang. Deze systemen worden door de noodzaak ingewikkeld: bedrijven zoals AT&T, Sprint en T-Mobile hebben om de balans van het verlenen van toegang aan medewerkers om hun werk te doen en om klanten toegang te krijgen tot hun informatie. Maar gezien de schade die een kwaadaardige acteur kan spelen met de enorme hoeveelheden gegevens die deze bedrijven hebben, het is duidelijk dat ze nodig hebben om meer proactief te zijn in het beschermen van hun klanten.