Det har ikke vært en god uke for teleselskapene: security forskere har avdekket sikkerhetshull med systemer ved at&T, Sprint, og T-Mobile som kunne ha venstre kundens data tilgjengelig for dårlige skuespillere.
I går, BuzzFeed News rapporterte to feil at venstre informasjon om kunden informasjon sårbar ved at&T og T-Mobile. I T-Mobile er tilfellet, en “engineering ” feil” mellom Apples online-butikk og T-Mobile-kontoen validation API tillatt for et ubegrenset antall forsøk på et skjema, som ville gjøre det mulig for en hacker å bruke vanlig tilgjengelige verktøy for å gjette en konto PIN-eller de fire siste sifrene i kundens personnummer, i det som er kalt et ” brute-force-angrep.
Et lignende problem har oppstått med telefonen forsikringsselskap Asurion og dets AT&T kunder. En online krav form ville tillate noen med en kunde telefonnummer for å få tilgang til en form som tillot dem ubegrenset gjetninger til å gjette på en brukers passord, slik at det sårbare for annen brute-force-angrep.
En gang hadde, AT&T og T-Mobile løste problemer
I hvert enkelt tilfelle, begge selskapene fikset sårbarheter når kontaktet av BuzzFeed Nyheter.
I et annet tilfelle denne helgen, TechCrunch rapportert at security forskere var i stand til å få tilgang til en intern stab portalen på Sprint på grunn av “svak, lett-å-bruke brukernavn og passord,” sammen med mangel av to-faktor autentisering. En gang i forsker var angivelig i stand til å få tilgang til kundens konto informasjon for Sprint, Boost Mobile, og Virgin Mobile. De forsker også rapportert at hvem som helst som fikk tilgang kan gjøre endringer til kundens kontoer, og at kunden Pinnene kunne være brute-tvang. En Sprint talsmann bekreftet sårbarheten til TechCrunch, og bemerket at det ikke tror at alle kunder ble berørt av sårbarheten, og bemerket at de jobber med å fikse problemet.
Det er verdt å merke seg at sårbarheter ikke nødvendigvis er brudd, men det er sikkerhetsproblemer, slik som disse som gjør at dårlige skuespillere for å få tilgang til et system og utnytte kundens data som de har tilgang til. Disse systemene er av nødvendighet komplisert: selskaper som AT&T, Sprint, og T-Mobile har balanse som gir tilgang til ansatte til å gjøre jobben sin og for kundene å få tilgang til sin informasjon. Men gitt den skade som en ondsinnet skuespiller kan spille med de enorme mengder data som disse selskapene har, er det klart at de må være mer proaktive i å beskytte sine kunder.