Non è stata una buona settimana per società di telecomunicazioni: i ricercatori di sicurezza hanno scoperto le falle di sicurezza con sistemi di at&T, Sprint e T-Mobile, che potrebbe aver lasciato i dati del cliente accessibile ai cattivi attori.
Ieri, BuzzFeed News ha riportato due difetti che a sinistra informazioni per il cliente informazioni vulnerabili all’at&T e T-Mobile. T-Mobile, una “ingegneria errore” tra Apple negozio online e T-Mobile convalida dell’account API consentito per un numero illimitato di tentativi su un modulo online, che potrebbe consentire a un hacker di utilizzare comunemente disponibili strumenti di indovinare un account PIN o le ultime quattro cifre in un numero di sicurezza sociale, in quello che viene chiamato un attacco di forza bruta.
Un problema simile si è verificato con il telefono compagnia di assicurazione Asurion e la sua AT&T clienti. Un modulo di richiesta di risarcimento permetterebbe a chiunque con un cliente, il numero di telefono per accedere a un modulo che ha permesso loro illimitato ipotesi di indovinare un cliente codice di accesso, lasciandolo vulnerabile a un altro attacco di forza bruta.
Una volta segnalato, AT&T e T-Mobile, fissa i problemi
In ogni caso, entrambe le società risolto la vulnerabilità quando contattato da BuzzFeed News.
In un altro esempio di questo fine settimana, TechCrunch ha riferito che i ricercatori di sicurezza sono stati in grado di accedere a uno staff interno portale Sprint a causa della debole“, di facile utilizzo, username e password, si” combinano con la mancanza di autenticazione a due fattori. Una volta dentro, il ricercatore è stato in grado di accedere a informazioni sull’account del cliente per Sprint, Boost Mobile e Virgin Mobile. Il ricercatore ha anche riferito che chi ha guadagnato l’accesso può apportare modifiche ai conti dei clienti, e che il cliente Perni potrebbe essere forzati. Uno Sprint portavoce ha confermato la vulnerabilità TechCrunch, e ha notato che non credo che tutti i clienti sono stati colpiti dalla vulnerabilità, e ho notato che stanno lavorando per risolvere il problema.
Vale la pena notare che le vulnerabilità non sono necessariamente le violazioni, ma la vulnerabilità come questi che permettono di cattivi attori per ottenere l’accesso a un sistema e sfruttare i dati dei clienti che hanno accesso. Questi sistemi sono necessariamente complicato: le aziende come AT&T, Sprint e T-Mobile hanno a saldo di fornire l’accesso ai dipendenti a fare il loro lavoro e per i clienti di ottenere l’accesso alle loro informazioni. Ma visti i danni che un malintenzionato attore può giocare con la grande quantità di dati queste imprese hanno, è chiaro che hanno bisogno di essere più proattivi nel proteggere i loro clienti.