Исследователи безопасности обнаружили уязвимости в AT&T, T-Mobile и Sprint, которые могли предоставить данные клиентов

Это не была хорошая неделя для телекоммуникационных компаний: исследователи безопасности обнаружили недостатки безопасности с системами AT&T, Sprint и T-Mobile, которые могли бы оставить данные о клиентах доступными для плохих актеров.

Вчера Buzzfeed News сообщила о двух недостатках, которые оставили информацию о клиентах уязвимой в AT&T и T-Mobile. В T-Mobile в случае “Инженерная ошибка” между Apple интернет-магазина и т-Mobile счета проверки АПИ допускается неограниченное количество попыток онлайн-форму, которая позволит хакеру использовать обычные инструменты, чтобы угадать счет, пин-код или последние четыре цифры номера клиента, номер социального страхования, в то, что называется полным перебором.

Аналогичная проблема возникла с телефонной страховой компанией Asurion и ее клиентами AT&T. Онлайн форма претензии позволит любому с номером телефона клиента, чтобы получить доступ к форме, которая позволила им неограниченные догадки угадать пароль клиента, оставляя его уязвимым для другой грубой силы атаки.

ПОСЛЕ СООБЩЕНИЯ, AT&T И T-MOBILE ИСПРАВИЛИ ПРОБЛЕМЫ
В каждом случае обе компании исправляли уязвимости при обращении в BuzzFeed News.

В другом случае в эти выходные TechCrunch сообщил, что исследователи безопасности смогли получить доступ к внутреннему порталу персонала в Sprint из-за “слабых, простых в использовании имен пользователей и паролей”, усугубляемых отсутствием двухфакторной аутентификации. После того, как в, исследователь, как сообщается, в состоянии получить доступ к информации об учетной записи клиента для Sprint, Boost Mobile, и Virgin Mobile. Исследователь также сообщил, что любой, кто получил доступ, может вносить изменения в учетные записи клиентов и что клиентские Пины могут быть грубой силой. Представитель Sprint подтвердил Уязвимость TechCrunch и отметил, что он не считает, что какие-либо клиенты были затронуты уязвимостью, и отметил, что они работают над устранением проблемы.

Стоит отметить, что уязвимости не обязательно являются нарушениями, но именно такие уязвимости позволяют злоумышленникам получить доступ к системе и использовать данные клиентов, к которым они обращаются. Эти системы по необходимости сложны: такие компании, как AT&T, Sprint и T-Mobile, должны сбалансировать предоставление доступа к сотрудникам для выполнения своей работы и клиентам для получения доступа к своей информации. Но, учитывая вред, который злоумышленник может нанести огромным объемам данных, которыми обладают эти компании, очевидно, что им нужно быть более активными в защите своих клиентов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *