剛剛過去的一周對電信公司而言并不好過。安全研究人員已經(jīng)發(fā)現(xiàn)了AT&T，Sprint和T-Mobile系統(tǒng)的安全漏洞，這些漏洞可能會讓別有用心的人獲取客戶數(shù)據(jù)。

就在昨天，研究者報(bào)道了兩個漏洞，導(dǎo)致AT&T和T-Mobile的客戶信息信息易受攻擊。在T-Mobile的案例中，Apple的在線店面與T-Mobile的帳戶驗(yàn)證API之間的“工程錯誤”允許在線表單上進(jìn)行無限次嘗試，這將允許黑客使用常用工具來猜測帳戶PIN 或者社會安全號碼的最后四位數(shù)，即所謂的暴力破解攻擊。

手機(jī)保險(xiǎn)公司Asurion及他的AT&T客戶也遇到了類似的問題。 在線索賠表將允許任何擁有客戶電話號碼的人訪問表格，也允許他們無限猜測猜測客戶的密碼，使其同樣容易受到暴力破解攻擊。

兩家公司都及時修復(fù)了這個允許無限次提交表格的漏洞。

在本周末的另一個例子中，安全研究人員發(fā)現(xiàn)能夠訪問Sprint的內(nèi)部員工帳戶的漏洞。這“得益于”員工設(shè)置的容易被猜到的弱密碼和用戶名，加上缺乏雙重身份驗(yàn)證。據(jù)報(bào)道，一旦進(jìn)入內(nèi)部系統(tǒng)，研究人員就可以訪問Sprint，Boost Mobile和Virgin Mobile的各種客戶帳戶信息。 研究人員還報(bào)告說，獲得訪問權(quán)限的任何人都可以對客戶帳戶進(jìn)行更改，并且客戶PIN是可以暴力破解的。Sprint發(fā)言人證實(shí)了這個漏洞，并聲稱它不相信任何客戶受到漏洞的影響，發(fā)言人表示他們正在努力解決這個問題。

值得注意的是，這些安全隱患、漏洞不一定會被攻擊者利用。但是這些漏洞允許別有用心的人獲得對系統(tǒng)的訪問權(quán)并訪問的客戶數(shù)據(jù)。 這些在國際上數(shù)一數(shù)二的通信運(yùn)營商的系統(tǒng)必然很復(fù)雜：像AT＆T，Sprint和T-Mobile這樣的公司必須權(quán)衡提供員工工作的便利性，以及客戶獲取信息的權(quán)限。 但考慮到攻擊者可以利用這些公司擁有的大量數(shù)據(jù)所帶來的傷害，很明顯他們需要更積極主動地保護(hù)他們的客戶信息。

實(shí)際上，即便攻擊者利用了這些漏洞進(jìn)入系統(tǒng)，也只能通過暴力破解方式獲得用戶的敏感信息。暴力破解所需的大量時間決定了攻擊者很難短時間內(nèi)獲取大量用戶的敏感信息。相較之下，在另一些手握大量用戶的運(yùn)營商那里，通過支付金錢或者使用權(quán)力就可以批量購買用戶敏感身份信息，恐怕是更大更亟需修補(bǔ)的漏洞。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900