Il n’a pas été une bonne semaine pour les entreprises de télécommunications: les chercheurs en sécurité ont découvert des failles de sécurité dans les systèmes avec AT&T, Sprint et T-Mobile qui peut avoir laissé à la clientèle accessibles à des mauvais acteurs.
Hier, BuzzFeed News a signalé deux défauts que la gauche l’information de client de l’information vulnérables à AT&T et T-Mobile. Dans T-Mobile est le cas, un génie “erreur” entre Apple de la boutique en ligne et T-Mobile compte de l’API de validation autorisée pour un nombre illimité de tentatives sur un formulaire en ligne, qui permettrait à un pirate d’utiliser couramment les outils disponibles pour deviner un NIP ou les quatre derniers chiffres du client numéro de sécurité sociale, dans ce qu’on appelle une attaque par force brute.
Un problème similaire s’est produite avec le téléphone de la compagnie d’assurance Asurion et de ses clients AT&T. Un formulaire de réclamation en ligne permettrait à n’importe qui avec un numéro d’appel du client pour accéder à un formulaire qui leur a permis illimité conjectures pour deviner un client mot de passe, le laissant vulnérable à une autre attaque par force brute.
Une fois signalé, AT&T et T-Mobile, fixe les problèmes
Dans chaque cas, les deux entreprises ont fixé les vulnérabilités lorsqu’il est contacté par BuzzFeed News.
Dans un autre exemple, ce week-end, TechCrunch a signalé que les chercheurs en sécurité ont pu accéder à un personnel interne portail au Sprint en raison de “la faiblesse de la, facile-à-utiliser des noms d’utilisateur et mots de passe”, aggravée par l’absence de l’authentification à deux facteurs. Une fois dedans, le chercheur aurait été en mesure d’accéder à la clientèle des informations de compte pour le Sprint, Boost Mobile et Virgin Mobile. Le chercheur a également déclaré que toute personne qui a obtenu l’accès pourrait apporter des changements à des comptes clients, et que le client Broches peut être brute forcé. Un Sprint porte-parole a confirmé la vulnérabilité TechCrunch, et a noté qu’elle n’a pas croire que tous les clients ont été touchés par la vulnérabilité, et a noté qu’ils travaillent à résoudre le problème.
Il est intéressant de noter que les vulnérabilités ne sont pas nécessairement des violations, mais c’est vulnérabilités tels que ceux-ci permettent de mauvais acteurs pour accéder à un système et d’exploiter les données des clients qu’ils ont accès. Ces systèmes sont par nécessité compliqué: des entreprises comme AT&T, Sprint et T-Mobile ont pour solde de fournir l’accès aux employés de faire leur travail et à des clients d’accéder à leurs informations. Mais étant donné le mal qu’une personne malveillante peut jouer avec les vastes quantités de données, ces entreprises ont, il est évident qu’ils ont besoin d’être plus proactif dans la protection de leurs clients.