Det har ikke været en god uge for teleselskaber: sikkerhed forskere har opdaget sikkerhedshuller med systemer hos at&T, Sprint og T-Mobile, der kunne have efterladt kunde data tilgængelige for dårlige skuespillere.
I går, BuzzFeed News rapporterede to fejl, at venstre kundeoplysninger oplysninger sårbare, ved AT&T og T-Mobile. I T-Mobile ‘ s tilfælde, en “teknisk fejl” mellem Apple ‘s online butik, og T-Mobile’ s konto validation API tilladt for et ubegrænset antal forsøg på en online-formular, der ville tillade en hacker at bruge almindeligt tilgængelige værktøjer til at gætte en konto PIN-kode eller de sidste fire cifre i kundens cpr-nummer, i hvad der kaldes en brute-force angreb.
Et lignende problem opstod med telefonen forsikringsselskab Asurion og dens AT&T kunder. En online hævder form ville tillade nogen med en kundes telefonnummer for at få adgang til en form, der tillod dem ubegrænset gæt er at gætte kundens adgangskode, der forlader det sårbare over for en anden brute-force angreb.
Når rapporterede, AT&T og T-Mobile fast problemerne
I hvert enkelt tilfælde, både virksomheder rettet sårbarheder, når kontaktet af BuzzFeed Nyheder.
I anden instans i denne weekend, TechCrunch rapporteret, at sikkerhed var forskerne i stand til at få adgang til et internt personale portal på Sprint på grund af “svage, let-at-bruge brugernavne og passwords,” krydret med den manglende to-faktor autentificering. Når i forsker, der efter sigende er i stand til at få adgang til kundernes konto oplysninger til Sprint, Boost Mobile, Virgin Mobile. Den forsker, der også rapporterede, at alle, der har fået adgang kan foretage ændringer til kundernes konti, og det kunde PINs kunne brute-tvunget. Et Sprint talsmand bekræftet, at den sårbarhed, som TechCrunch, og bemærkede, at det ikke kunne tro på, at alle kunder var berørt af sårbarheden, og bemærkede, at de arbejder på at løse problemet.
Det er værd at bemærke, at sårbarhed ikke nødvendigvis brud, men det er svagheder som disse, der giver dårlig aktører at få adgang til et system og udnytte kundens data, som de har adgang til. Disse systemer er af nødvendighed kompliceret: virksomheder som at&T, Sprint og T-Mobile er nødt til at balance, der giver adgang til, at medarbejderne gør deres job, og at kunder at få adgang til deres oplysninger. Men i betragtning af den skade, som en ondsindet skuespiller kan spille med de store mængder af data, som disse virksomheder har, er det klart, at de er nødt til at være mere proaktiv i at beskytte deres kunder.