美国三大电信运营商被曝安全漏洞，或致用户信息泄露

2018-08-28 08:47

据外媒报道，有安全研究人员发现，美国三大电信运营商AT＆T、Sprint和T－Mobile的系统均存在严重的数据安全漏洞，可能只是用户信息泄露。

以T－Mobile为例，在线商店与T－Mobile账户的验证API允许不限次数尝试一个在线表格，而黑客可以使用一些常用的工具通过暴力破解来猜测某个账户的PIN或社会安全号的最后四位数。AT＆T的问题与T－Mobile类似，其与电话保险公司Asurion的业务中涉及一份网上索赔表，可以让任何拥有客户电话号码的人获得一张表格，而后者可以能够无限次的猜测客户密码来暴力破解。

Sprint的漏洞则与另外两者不同。在Sprint系统中，人们可以利用常见的用户名和密码进入其内部员工门户，且该门户还缺乏两步验证措施。进入门户之后，人们就可以获得Sprint、Boost Mobile和Virgin Mobile的客户信息。此外，获得此权限的人也可以修改客户账户，也可以暴力破解客户PIN码。

自Facebook后，安全隐私问题愈发受到重视。眼下，美国已经有多家公司被曝出数据隐私安全，就在前不久，谷歌也被曝出强制记录用户位置信息，牵涉了Android和部分iOS设备，或将面临来自欧盟的43亿欧元。

目前，三家运营商都已承认了漏洞的存在，但是没有透露是否有人实际受到影响。其中，AT＆T与T－Mobile表示已经修复了以上漏洞。至于Sprint，他们也正在努力修复这一问题，不过，其发言人并不认为有客户受到实际影响。