當前位置:
首頁 > 科技 > 沉寂已久的PIN碼又惹事:這家通信公司栽在了1234上

沉寂已久的PIN碼又惹事:這家通信公司栽在了1234上

隨著智能手機時代的來臨,手機PIN碼出問題的概率越來越低,可誰能想到,這一次,載在PIN碼上的竟然是全球知名的通信公司沃達豐。

沉寂已久的PIN碼又惹事

雖然會暴露年齡,但在諾基亞還能拿下銷量半壁江山的時代,確實會有很多小夥伴「手賤」玩壞 PIN 碼(SIM 卡個人識別密碼),導致自己的小翻蓋、小滑蓋或小直板被鎖,然後就只能跑營業廳求助運營商了。

不過,這個已經銷聲匿跡許久的名字最近又上了回頭條,兩名騙子居然利用沃達豐(Vodafone)孱弱的 PIN 碼從捷克用戶手上騙了 2.6 萬美元。

沃達豐會為自家用戶預設 4-6 位的數字密碼,但它們警惕性太差了,預設的密碼強度太低。結果,有兩個不知天高地厚的騙子在嘗試了幾次 1234 這樣的弱智密碼後,居然成功暴力破解了用戶賬戶,他們可是半點技術都不會。

這還沒完,走了狗屎運的他們還發現,只要自己知道一個電話號碼並試出該賬戶的 PIN 碼,就可以通過這個漏洞獲取新的 SIM 卡,連帶照片的證件或郵件確認都不需要。

此外,這兩個騙子拿漏洞賺錢的方法也是別具一格,他們將被盜用的賬戶連上了在線賭博賬號,而且還打開了支付網關。隨後,兩個騙子通過賭博賬號取走錢財,把債務留給了被盜用戶,而自己則大搖大擺去銀行取了現。

這樣的攻擊其實沒什麼技術含量,因此兩個騙子也很快被抓。不過,60 名受害用戶可慘了,他們的賬單上全是欺詐交易,而沃達豐並沒有主動承擔責任,電信巨頭甚至宣稱自家客戶應該為這批欺詐交易負責,因為他們用了這些「弱智」密碼,而事實上它們自己系統的安全短板才是這次事件的罪魁禍首。

老玩家也犯了低級錯誤

雖然沃達豐將 PIN 碼交給用戶時它只是臨時憑證,但電信巨頭並未告知用戶這個代碼需要修改,有些用戶甚至根本不知道自己還有個網路賬戶。

El Reg 從布拉格軟體開發者Michal ?pacek那裡了解到了這件事,隨後便在Twitter上炮轟起了沃達豐。

「沃達豐稱你的密碼得自己負責,還說服務條款上已經詳細標明。」他寫道。「不過,壞人只知道手機號和密碼就能拿到新 SIM 卡,這點沃達豐是不是該負責?」

隨後,當地報紙也對這一事件進行了報道,實時詐騙的兩個嫌疑人最終分別被判處2年和3年有期徒刑。

據悉,這些被暴力破解的賬戶大多 2012 年之前就創建了,過去六年里,用戶在設立手機商店賬戶時也選擇了自己的6位密碼。不過,?pa?ek 並不認為沃達豐新系統的安全性有什麼值得稱讚的。Michal ?pacek的朋友Michal Illich多年前也領到過「1234」這樣的隨機密碼,當時他還以為這是機器生成的呢。

據悉,兩個騙子還能通過沃達豐的網路主頁獲取受害者的生日、組織、銀行賬戶和電話記錄等。還好,他們沒有濫用這些信息為受害者造成進一步傷害。

El Reg 要求沃達豐對此事作出解釋並批評了它們的安全策略,電信巨頭回應稱:「我們很遺憾聽到一些客戶成為犯罪分子有針對性欺詐行為的受害者。我們已明確告知用戶,他們需要用獨特的強密碼才能保護自己免受此類犯罪行為的侵害。沃達豐也一直在與執法部門合作,以確保將責任人繩之以法並對我們的客戶進行補償。

安全認證專家 Per Thorsheim 還告訴 El Reg,沃達豐捷克分部在安全上出問題已經不是一次兩次了,它們哪怕用郵箱地址替代 PIN 碼,也不至於被這種低級騙子給攻破。

「雖然用郵箱當用戶名外加 8 位密碼的政策下一些用戶會用上『password』這樣的密碼,但獲取大量用戶郵箱可不容易,這樣就能讓犯罪分子望而卻步。」Per Thorsheim 說道。「這件事的瘋狂之處在於,沃達豐的認證設置實在太爛,它們給了『1234』這樣的弱密碼居然還有臉抱怨用戶不注意安全。」

Thorsheim 還指出,哪怕它們在登陸界面用些速率限制、帳戶鎖定、地理圍欄或基於時間的安全性設置,也能顯著提升自家系統的安全性。此外,他認為捷克的信息專員辦公室應該介入此事,這麼差的個人數據保護確實需要風險分析和數據保護影響評估了。

小獅子最喜歡的雞腿 分割線


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 鈦師父 的精彩文章:

大品牌將關閉機械硬碟工廠,你還買HDD嗎?
來一波清爽的!愛國者月光寶盒T20炫光版機箱+G-T550全模組電源體驗

TAG:鈦師父 |