苹果公司的在线商店会将任何T-Mobile客户的部分社会安全号码或帐号PIN码暴露给黑客。在购物者通过T-Mobile发起iPhone购买并选择每月支付分期付款后,Apple的网站会向购物者提供一份认证表格,要求提供他们的T-Mobile手机号码,帐号PIN码或其社会安全号码的后四位数字。
此页面允许在帐户PIN和社会安全号码字段中进行无限次输入尝试,允许它被强制使用。该缺陷似乎只影响T-Mobile账户。在其他运营商(Verizon,Sprint和AT&T)的同一帐户验证页面上,速率限制会在5到10次不正确的提交后锁定对表单的访问权限,持续60分钟,从而阻止黑客暴力破解它。
根据Ceraolo的说法,该漏洞可能是由于在将T-Mobile的帐户验证API连接到Apple的网站时出现了工程错误。API或应用程序编程接口允许第三方访问客户数据并验证安全措施,如PIN。T-Mobile拒绝对此特定漏洞发表评论,但确实指出其网站上最近的一篇文章详细说明了一起单独的事件,该事件涉及未经授权访问客户的个人信息,包括帐号,电子邮件地址,电话号码,姓名和账单邮政编码。
在另一个漏洞中,通过Asurion购买电话保险的AT&T客户的帐户PIN码容易受到攻击。无论是Asurion还是AT&T都没有明确指出有多少客户受到影响。拥有超过3亿客户的Asurion与几乎所有主要的运营商合作,为丢失,损坏或被盗的手机提供保险。
在客户可以提交索赔的Asurion网页上,了解AT&T客户无线号码的黑客可以访问另一个要求帐户持有人的四到八位密码的表格。这种形式对尝试没有限制,因此它是强力的。根据Ceraolo的说法,大多数个人识别码都是四位数,并且“可以在合理的时间范围内强制执行。”
