據國外媒體報道稱,本周對于電信公司來說并不順利,因為有安全研究人員發現,AT&T、Sprint和T-Mobile這三大美國電信運營商系統均存在安全漏洞,這些漏洞可能導致用戶信息泄露。
BuzzFeed此前報道了兩大可導致AT&T和T-Mobile客戶信息容易受到黑客攻擊的漏洞。就拿T-Mobile的例子來說,蘋果在線商店與T-Mobile帳戶驗證API之間的“工程錯誤”(engineeringmistake)允許黑客在在線表單上進行無限次的密碼嘗試。這也就是說,黑客可以使用暴力破解工具來破解用戶帳戶、密碼或者社保安全號碼的最后四位數。
而且,同樣的問題也出現在電話保險公司Asurion以及AT&T身上。這兩家企業的在線索賠表單都允許任何擁有客戶電話號碼的人訪問該表單,并允許他們暴力破解客戶的用戶名和密碼。
截至目前,兩家公司都已修復了這一漏洞。
在上周末出現的另一個案例中,TechCrunch援引安全研究人員的消息稱,另一大美國電信運營商Sprint內部員工帳戶也存在漏洞。黑客可以利用員工設置的簡易用戶名和密碼進入Sprint內部員工平臺,且該公司并沒有啟用雙重身份驗證機制。黑客一旦進入內部系統,就可以訪問包括Sprint、BoostMobile和Virgin Mobile在內的大量用戶賬戶信息。
研究人員還發現,任何獲得訪問權限的人都可以對用戶賬戶進行更改,用戶的密碼可能會被暴力破解。
對此,Sprint一位發言人證實了這一漏洞,但表示公司相信“目前還沒有客戶受到該漏洞的影響,我們也正在努力解決這一問題”。
需要指出的是,這些安全隱患、漏洞不一定會被攻擊者利用,但卻會讓別有用心的人獲得系統、用戶數據的訪問權。我們可以肯定,類似AT&T,Sprint和T-Mobile這樣規模公司所使用的用戶系統必定非常復雜,但他們同時也需要找到為員工提供工作便利和幫助客戶獲取信息之間的平衡點。
不過,考慮到攻擊者可能利用這些公司所擁有大量數據帶來的巨大傷害,這些電信巨頭顯然需要采取更主動的措施保障用戶信息。
責任編輯:安旭環