據(jù)國(guó)外媒體報(bào)道稱,本周對(duì)于電信公司來說并不順利��,因?yàn)橛邪踩芯咳藛T發(fā)現(xiàn),AT&T、Sprint和T-Mobile這三大美國(guó)電信運(yùn)營(yíng)商系統(tǒng)均存在安全漏洞,這些漏洞可能導(dǎo)致用戶信息泄露�。
BuzzFeed此前報(bào)道了兩大可導(dǎo)致AT&T和T-Mobile客戶信息容易受到黑客攻擊的漏洞。就拿T-Mobile的例子來說�����,蘋果在線商店與T-Mobile帳戶驗(yàn)證API之間的“工程錯(cuò)誤”(engineeringmistake)允許黑客在在線表單上進(jìn)行無限次的密碼嘗試���。這也就是說����,黑客可以使用暴力破解工具來破解用戶帳戶�、密碼或者社保安全號(hào)碼的最后四位數(shù)。
而且�����,同樣的問題也出現(xiàn)在電話保險(xiǎn)公司Asurion以及AT&T身上�����。這兩家企業(yè)的在線索賠表單都允許任何擁有客戶電話號(hào)碼的人訪問該表單�����,并允許他們暴力破解客戶的用戶名和密碼��。
截至目前�����,兩家公司都已修復(fù)了這一漏洞���。
在上周末出現(xiàn)的另一個(gè)案例中���,TechCrunch援引安全研究人員的消息稱,另一大美國(guó)電信運(yùn)營(yíng)商Sprint內(nèi)部員工帳戶也存在漏洞����。黑客可以利用員工設(shè)置的簡(jiǎn)易用戶名和密碼進(jìn)入Sprint內(nèi)部員工平臺(tái),且該公司并沒有啟用雙重身份驗(yàn)證機(jī)制��。黑客一旦進(jìn)入內(nèi)部系統(tǒng)��,就可以訪問包括Sprint��、BoostMobile和Virgin Mobile在內(nèi)的大量用戶賬戶信息��。
研究人員還發(fā)現(xiàn)����,任何獲得訪問權(quán)限的人都可以對(duì)用戶賬戶進(jìn)行更改���,用戶的密碼可能會(huì)被暴力破解。
對(duì)此����,Sprint一位發(fā)言人證實(shí)了這一漏洞,但表示公司相信“目前還沒有客戶受到該漏洞的影響����,我們也正在努力解決這一問題”。
需要指出的是�����,這些安全隱患����、漏洞不一定會(huì)被攻擊者利用,但卻會(huì)讓別有用心的人獲得系統(tǒng)���、用戶數(shù)據(jù)的訪問權(quán)��。我們可以肯定����,類似AT&T�,Sprint和T-Mobile這樣規(guī)模公司所使用的用戶系統(tǒng)必定非常復(fù)雜�����,但他們同時(shí)也需要找到為員工提供工作便利和幫助客戶獲取信息之間的平衡點(diǎn)��。
不過���,考慮到攻擊者可能利用這些公司所擁有大量數(shù)據(jù)帶來的巨大傷害����,這些電信巨頭顯然需要采取更主動(dòng)的措施保障用戶信息���。
微信掃一掃
