Top menu

Неделя утечек из телекоммуникационных компаний

Прошлая неделя выдалась богатой на утечки персональных данных клиентов телекоммуникационных компаний. Сразу три крупнейших оператора связи пострадали от утечек - AT&T, Sprint и T-Mobile.

В случае с T-Mobile к утечке данных привела ошибка в коде взаимодействия между онлайн магазином Apple и сервером T-Mobile, отвечающим за проверку пользовательских аккаунтов. Функция проверки допускала неограниченное количество проверок, введенных пользователем данных, что позволяло злоумышленникам осуществлять перебор ПИН-кодов и последних 4-х цифр номера социального страхования.

Очень похожая проблема была обнаружена и в коде компании Asurion, занимающейся страхованием телефонов клиентов AT&T. Код, обрабатывающий формы онлайновых заявлений на страховые случаи, допускал неограниченное число вызовов, что позволяло злоумышленнику, знающему номер телефона, подобрать перебором пароль.

У компании Sprint под угрозой оказался внутренний портал, предназначенный для работников оператора. Для доступа к порталу использовались «слабые» комбинации имени пользователя и пароля и отсутствовала двухфакторная аутентификация. Исследователь, обнаруживший данную проблему, смог получить доступ к персональным данным клиентов Sprint, Boost Mobile и Virgin Mobile (последние два оператора пользуются инфраструктурой Sprint).

В июне этого года была обнаружена ошибка на веб-сайте T-Mobile, позволявшая любому получить доступ к персональным данным клиента с помощью номера его сотового телефона.

Автор: Ашот Оганесян