Det har inte varit en bra vecka för telekommunikation företag: säkerhetsforskare har upptäckt brister säkerhet med system på at&T, Sprint, T-Mobile som kunde ha lämnat kunden information är tillgänglig för dåliga aktörer.
Igår, BuzzFeed Nyheter rapporterade två brister som lämnat kunden information utsatta på at&T och T-Mobile. I T-Mobile ‘ s fall, “tekniska misstag” mellan Apple online skyltfönster och T-Mobile ‘s konto validation API som är tillåtna för ett obegränsat antal försök på ett online-formulär, som skulle göra det möjligt för en hackare att använda vanligt förekommande verktyg för att gissa ett konto PIN-kod eller de fyra sista siffrorna i kundens personnummer, i vad som kallas för en “brute force” -attack.
Ett liknande problem uppstod med telefonen försäkringsbolag Asurion och dess AT&T-kunder. En online fordringar form skulle tillåta någon med kundens telefonnummer för att få tillgång till en form som gjorde dem obegränsad gissar att gissa ett kundens lösenord, vilket gör den sårbar för en annan brute-force-attack.
När rapporterade, AT&T och T-Mobile fast de problem
I varje fall, både företag fast de sårbarheter som när du kontaktas av BuzzFeed Nyheter.
I ett annat fall denna helg, TechCrunch rapporterade att säkerhetsforskare hade tillgång till en intern personal portal på Sprint på grund av “svaga, lätt att använda användarnamn och lösenord,” ihop med bristen på två-faktor autentisering. En gång i forskaren var enligt uppgift tillgång till kundens konto information för Sprint, Boost Mobile och Virgin Mobile. Forskare har också rapporterat att den som fått tillgång skulle kunna göra ändringar i kundens konton, och som kund Stift kan vara brute-tvingade. En Sprint talesperson bekräftade sårbarhet för TechCrunch, och konstaterade att det inte anser att alla kunder påverkades av sårbarhet, och konstaterade att de jobbar på att åtgärda problemet.
Det är värt att notera att sårbarheter inte nödvändigtvis brott, men det är sårbarheter som dessa som gör att dåliga aktörer att få tillgång till ett system och utnyttja kundens uppgifter som de har tillgång till. Dessa system är av nödvändighet komplicerad: företag som AT&T, Sprint, T-Mobile har balans som ger tillgång till de anställda till att göra sitt jobb och att kunderna ska få tillgång till deras information. Men med tanke på den skada som en skadlig skådespelare kan spela med de stora mängder data som dessa företag har, det är klart att de måste vara mer aktiva för att skydda sina kunder.