安全漏洞使T-Mobile AT＆T帳戶PIN容易受到攻擊

雖然這不像駭客進(jìn)入運(yùn)營(yíng)商的客戶數(shù)據(jù)庫(kù)那樣糟糕，但最近出現(xiàn)的一對(duì)在線安全漏洞使T-Mobile和AT&T客戶面臨風(fēng)險(xiǎn)。安全研究人員發(fā)現(xiàn)了第三方網(wǎng)站上的漏洞，這些漏洞使客戶帳戶PIN在用于帳戶驗(yàn)證時(shí)可能會(huì)被暴露。

對(duì)于T-Mobile而言，實(shí)際上是蘋(píng)果的在線商店存在安全風(fēng)險(xiǎn)。在購(gòu)買(mǎi)iPhone的結(jié)帳過(guò)程中，當(dāng)被要求驗(yàn)證其T-Mobile帳戶信息時(shí)，允許用戶無(wú)限制地嘗試輸入PIN或社會(huì)保險(xiǎn)號(hào)的后四位數(shù)。這意味著攻擊者嘗試了任意多的嘗試來(lái)猜測(cè)或輸入這些數(shù)字之一的所有可能性。

對(duì)于AT&T來(lái)說(shuō)，問(wèn)題出在Asurion的網(wǎng)站上，該公司負(fù)責(zé)處理運(yùn)營(yíng)商的電話保險(xiǎn)。如果有人要提出索賠并知道該帳戶的電話號(hào)碼，則該網(wǎng)頁(yè)將為他們提供無(wú)限制的輸入PIN的嘗試。

如果遭到破壞，這些PIN可能會(huì)導(dǎo)致SIM卡和電話號(hào)碼被劫持，進(jìn)而使攻擊者可以訪問(wèn)任何依賴于文本消息的兩因素身份驗(yàn)證。對(duì)于T-Mobile和AT&T客戶而言，幸運(yùn)的是，運(yùn)營(yíng)商已經(jīng)確認(rèn)安全問(wèn)題在引起關(guān)注后立即得到解決。