Sikkerhetsfeil lar millioner av AT&T og T-Mobile SIM-kort bli utsatt for hackere

4826
Daniel Benson

Foruten å være forbindelsespunktene, har mobilnumre lenge vært assosiert med brukernes identitet, og dette er det som kompromittert i et stort sikkerhetsbrudd som fant sted nylig. I følge Buzzfeed News kan to individuelle feil - en i Apples nettbutikk og en annen på nettstedet til telefonforsikringsleverandøren, Asurion - ha avslørte informasjon om så mange som 77 millioner T-Mobile- og AT&T-kunder.

Eksponert av sikkerhetsforskere Nicholas "Convict" Ceraolo og Phobia, avslørte sikkerhetsfeilene PIN-koder for kunder til de to operatørene. Ironisk nok, disse PIN-koder er det som skal beskytte data om mobiltelefonbrukere mot å bli stjålet. Disse PIN-kodene brukes til å legge til et sikkerhetslag og forhindre at hackere hacker SIM-kortet ditt eller saboterer privilegier som SMS-basert autentisering. Med stjålne PIN-koder, a hacker kan til og med bestille et duplikat-SIM-kort for å utnytte smarttelefonen din til ulovlige aktiviteter.

I følge forskeren, mens Apples sårbarhet som forårsaket lekkasje av T-Mobile PIN-koder var på grunn av en teknisk feil i API-et levert av operatøren som letter månedlige regningsbetalinger. I motsetning, Asurions nettsted ga rom for et brutalt angrep - eller datamaskinstøttet gjetting av et bestemt sifferpassord eller kode gjentatte ganger til en kode blir akseptert - fordi det ikke var noen begrensning på antall ganger man kunne prøve disse pinnene for AT&T mens andre transportører hadde en hastighetsgrense.

Siden de fleste av disse PIN-kodene er på fire sifre, er det ganske enkelt å bestemme dem ved å angripe brutalt “i en rimelig tidsramme.”Etter informasjon fra Buzzfeed News, begge deler Apple og Asurion har løst sårbarhetene på sine respektive plattformer.

Mens T-Mobile og Apple, bortsett fra å takke forskeren, har holdt mamma om problemet, har AT&T svart med å si "I tillegg til flere lag med sikkerhet vi har på plass for å beskytte kundene våre, vil vi fortsette å samarbeide med Asurion for å undersøke dette. Vi vil gjøre ytterligere tiltak som kan være hensiktsmessige.


Ingen har kommentert denne artikkelen ennå.