据国外媒体报道称,本周对于电信公司来说并不顺利,因为有安全研究人员发现,AT&T、Sprint和T-Mobile这三大美国电信运营商系统均存在安全漏洞,这些漏洞可能导致用户信息泄露。
BuzzFeed此前报道了两大可导致AT&T和T-Mobile客户信息容易受到黑客攻击的漏洞。就拿T-Mobile的例子来说,苹果在线商店与T-Mobile帐户验证API之间的“工程错误”(engineeringmistake)允许黑客在在线表单上进行无限次的密码尝试。这也就是说,黑客可以使用暴力破解工具来破解用户帐户、密码或者社保安全号码的最后四位数。
而且,同样的问题也出现在电话保险公司Asurion以及AT&T身上。这两家企业的在线索赔表单都允许任何拥有客户电话号码的人访问该表单,并允许他们暴力破解客户的用户名和密码。
截至目前,两家公司都已修复了这一漏洞。
在上周末出现的另一个案例中,TechCrunch援引安全研究人员的消息称,另一大美国电信运营商Sprint内部员工帐户也存在漏洞。黑客可以利用员工设置的简易用户名和密码进入Sprint内部员工平台,且该公司并没有启用双重身份验证机制。黑客一旦进入内部系统,就可以访问包括Sprint、BoostMobile和Virgin Mobile在内的大量用户账户信息。
研究人员还发现,任何获得访问权限的人都可以对用户账户进行更改,用户的密码可能会被暴力破解。
对此,Sprint一位发言人证实了这一漏洞,但表示公司相信“目前还没有客户受到该漏洞的影响,我们也正在努力解决这一问题”。
需要指出的是,这些安全隐患、漏洞不一定会被攻击者利用,但却会让别有用心的人获得系统、用户数据的访问权。我们可以肯定,类似AT&T,Sprint和T-Mobile这样规模公司所使用的用户系统必定非常复杂,但他们同时也需要找到为员工提供工作便利和帮助客户获取信息之间的平衡点。
不过,考虑到攻击者可能利用这些公司所拥有大量数据带来的巨大伤害,这些电信巨头显然需要采取更主动的措施保障用户信息。