国外通信运营商出现两漏洞,客户数据信息或遭受攻击
刚刚过去的一周对电信公司而言并不好过。安全研究人员已经发现了at&t,sprint和t-mobile系统的安全漏洞,这些漏洞可能会让别有用心的人获取客户数据。
就在昨天,研究者报道了两个漏洞,导致at&t和t-mobile的客户信息信息易受攻击。 在t-mobile的案例中,apple的在线店面与t-mobile的帐户验证api之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户pin 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。
手机保险公司asurion及他的at&t客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。
两家公司都及时修复了这个允许无限次提交表格的漏洞。
在本周末的另一个例子中,安全研究人员发现能够访问sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问sprint,boost mobile和virgin mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户pin是可以暴力破解的。sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。
值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像at&t,sprint和t-mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。
实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。
中国电信天翼1号2021云手机值得入手吗?
电瓶修复技术之锂电池充电的原理解析(一)
电源滤波器的特性_电源滤波器的结构_电源滤波器对其他零件的影响
如何利用CC2530实现无线串口
机房精密空调制冷剂纯度低会导致哪些后果?
国外通信运营商出现两漏洞,客户数据信息或遭受攻击
联发科公布2019年9月份营收 符合先前预期顺利达成营收目标
安装前如何检查电缆防爆接头
苹果最快明年推出5G版iPhone 将掀起换机潮
华为鸿蒙OS将在2021年正式上线
高效广告传播媒体——镜面广告机
中国信通院与华为签署合作框架协议,共建下一代超融合数据中心网络
采暖散热器品牌哪家好
炬烜能量站:晶振电路电容的作用
百亿级市场待开发,生物识别市场前景可期
DS8007 多协议双智能卡接口
三相电源系统中的“三相四线制”是什么意思呢?
2023中国工业互联网技术发展的十大科技趋势
基于内容寻址的分布式存储系统IPFS
ASML CEO警告:出口管制不是可行做法 不要“逼迫中国大陆创新”
就在昨天,研究者报道了两个漏洞,导致at&t和t-mobile的客户信息信息易受攻击。 在t-mobile的案例中,apple的在线店面与t-mobile的帐户验证api之间的“工程错误”允许在线表单上进行无限次尝试,这将允许黑客使用常用工具来猜测帐户pin 或者社会安全号码的最后四位数,即所谓的暴力破解攻击。
手机保险公司asurion及他的at&t客户也遇到了类似的问题。 在线索赔表将允许任何拥有客户电话号码的人访问表格,也允许他们无限猜测猜测客户的密码,使其同样容易受到暴力破解攻击。
两家公司都及时修复了这个允许无限次提交表格的漏洞。
在本周末的另一个例子中,安全研究人员发现能够访问sprint的内部员工帐户的漏洞。这“得益于”员工设置的容易被猜到的弱密码和用户名,加上缺乏双重身份验证。据报道,一旦进入内部系统,研究人员就可以访问sprint,boost mobile和virgin mobile的各种客户帐户信息。 研究人员还报告说,获得访问权限的任何人都可以对客户帐户进行更改,并且客户pin是可以暴力破解的。sprint发言人证实了这个漏洞,并声称它不相信任何客户受到漏洞的影响,发言人表示他们正在努力解决这个问题。
值得注意的是,这些安全隐患、漏洞不一定会被攻击者利用。但是这些漏洞允许别有用心的人获得对系统的访问权并访问的客户数据。 这些在国际上数一数二的通信运营商的系统必然很复杂:像at&t,sprint和t-mobile这样的公司必须权衡提供员工工作的便利性,以及客户获取信息的权限。 但考虑到攻击者可以利用这些公司拥有的大量数据所带来的伤害,很明显他们需要更积极主动地保护他们的客户信息。
实际上,即便攻击者利用了这些漏洞进入系统,也只能通过暴力破解方式获得用户的敏感信息。暴力破解所需的大量时间决定了攻击者很难短时间内获取大量用户的敏感信息。相较之下,在另一些手握大量用户的运营商那里,通过支付金钱或者使用权力就可以批量购买用户敏感身份信息,恐怕是更大更亟需修补的漏洞。
中国电信天翼1号2021云手机值得入手吗?
电瓶修复技术之锂电池充电的原理解析(一)
电源滤波器的特性_电源滤波器的结构_电源滤波器对其他零件的影响
如何利用CC2530实现无线串口
机房精密空调制冷剂纯度低会导致哪些后果?
国外通信运营商出现两漏洞,客户数据信息或遭受攻击
联发科公布2019年9月份营收 符合先前预期顺利达成营收目标
安装前如何检查电缆防爆接头
苹果最快明年推出5G版iPhone 将掀起换机潮
华为鸿蒙OS将在2021年正式上线
高效广告传播媒体——镜面广告机
中国信通院与华为签署合作框架协议,共建下一代超融合数据中心网络
采暖散热器品牌哪家好
炬烜能量站:晶振电路电容的作用
百亿级市场待开发,生物识别市场前景可期
DS8007 多协议双智能卡接口
三相电源系统中的“三相四线制”是什么意思呢?
2023中国工业互联网技术发展的十大科技趋势
基于内容寻址的分布式存储系统IPFS
ASML CEO警告:出口管制不是可行做法 不要“逼迫中国大陆创新”