信息化觀察網(wǎng)

北京時(shí)間8月28日下午消息，上周末，一些網(wǎng)絡(luò)安全人員發(fā)現(xiàn)AT&T、Sprint和T-Mobile三大美國運(yùn)營商的系統(tǒng)存在安全漏洞，導(dǎo)致不良分子可以獲取用戶數(shù)據(jù)。

具體到T-Mobile，蘋果在線商店與T-Mobile帳戶的驗(yàn)證API允許不限次數(shù)嘗試一個(gè)在線表格，使得黑客可以使用一些常用的工具通過暴力破解來猜測某個(gè)帳戶的PIN或社會(huì)安全號(hào)的最后四位數(shù)。

電話保險(xiǎn)公司Asurion與其AT&T客戶之間也存在類似的問題。該公司的一份網(wǎng)上索賠表可以讓任何擁有客戶電話號(hào)碼的人獲取一張表格，使之能夠無限次地猜測客戶密碼，因而很容易展開暴力破解。

但在BuzzFeed News曝光此事后，這兩家公司均表示已經(jīng)修復(fù)上述漏洞。

與此同時(shí)，美國科技博客TechCrunch也報(bào)道稱，研究人員可以利用常見的用戶名和密碼進(jìn)入Sprint內(nèi)部員工門戶，而且該門戶還缺乏兩步驗(yàn)證措施。一旦進(jìn)入該門戶，研究人員便可獲取Sprint、Boost Mobile和Virgin Mobile的客戶信息。獲得此項(xiàng)權(quán)限的人可以修改客戶帳戶，也可以暴力破解客戶PIN。

Sprint發(fā)言人證實(shí)確實(shí)存在這一漏洞，但他們不認(rèn)為有客戶受到實(shí)際影響。該公司同時(shí)指出，他們正在努力修復(fù)這一問題。

值得注意的是，存在漏洞未必意味著數(shù)據(jù)泄露，但這的確會(huì)增加數(shù)據(jù)泄露風(fēng)險(xiǎn)。