据美媒BuzzFeed News当地时间24日报道,旨在保护T-Mobile和AT&T客户的移动帐户PIN码有两个安全漏洞暴露。在BuzzFeed News调查之后,两家公司修复了这些漏洞。
T-Mobile和AT&T客户的帐户PIN码(旨在保护移动帐户免受黑客攻击的密码)已被安全研究人员Phobia和Nicholas“Convict”Ceraolo 发现的两个不同的安全漏洞所暴露。
而苹果公司的在线商店则包含这些会无意中暴露超过7700万 T-Mobile客户的PIN码的安全漏洞。手机保险公司Asurion的网站有一个单独的漏洞,暴露了Asurion的AT&T客户的密码。
在BuzzFeed News公开安全研究人员的调查结果之后,Apple和Asurion修复了这些漏洞。苹果拒绝提供有关该记录的进一步评论,只表示该公司非常感谢发现该漏洞的研究人员。Asurion发言人Nicole Miller说:“Asurion非常重视客户的安全和隐私,因此我们有一个持续的分层安全计划来防止安全问题。我们正在调查研究人员(对于安全漏洞)的担忧,但已立即采取措施解决这些问题,以确保客户的账户安全。“
移动帐户的PIN码是特别敏感的信息。如果黑客可以访问它,他们可以轻松地占用用户电话号码,并使用它来欺骗SMS的身份验证(SMS可以在用户登录银行,电子邮件提供商或社交媒体帐户时验证用户身份)
黑客将受害者的电话和短信转发到另一部手机的SIM卡劫持现象已经变得非常普遍,以至于T-Mobile和AT&T在今年早些时候发出警报,敦促客户创建新的PIN码来保护他们的账户。(对于大多数移动服务提供商而言,客户的默认PIN码与其社会安全号码的后四位数字相同。)理论上,,更改帐户所需的自定义PIN码是一个额外的安全层,可以抵御黑客的攻击。
但是,Apple和Asurion网站上发现的漏洞如果被利用,将会导致这些PIN无用。他们允许坏人使用广泛可用的黑客软件,这种软件可以自动化所谓的暴力攻击,即反复尝试不同的数字组合,直到猜到正确的序列。
