dodany: 18.09.2012 | tagi: , , ,

Autor:

Konta użytkowników Virgin Mobile łatwe do zhakowania

1

Programista każe Virgin Mobile USA wziąć się do roboty, twierdząc, że obsługa nazw użytkowników i ich haseł  stawia ich w ryzykownej sytuacji.

Kevin Burke wczoraj wykorzystał swój prywatny blog do poinformowania, że proces uwierzytelniania Virgin Mobile pozwala użytkownikom jedynie na wprowadzanie liczb jako ich PIN-u do konta. Co gorsza, hasło jest ograniczone tylko do sześciu liczb, pozostawiając „tylko milion możliwych haseł, które można wybrać”.

„Jest to strasznie niebezpieczne” 

– napisał i dodał:

Porównaj 6-cyfrowy numer z losowo generowanym 8-znakowym hasłem zwierającym wielkie litery, mała litery i cyfry z czego te ostatnie mają 218340105584896 możliwych kombinacji. To trywialne napisać program, który sprawdza wszystkie możliwe kombinacje haseł, łatwo ustalające czyjkolwiek PIN w ciągu jednego dnia. Sprawdziłem to pisząc skrypt  ataku brute force na mój numer PIN”.

Chociaż Virgin zawiesza dostęp do konta po kilku nieudanych próbach logowania, Bruk napisał, że wyczyszczenie ciasteczek przeglądarki pomiędzy próbami logowania w zupełności wystarczy, aby pominąć ten środek zabezpieczający.

Bruk twierdzi, że hakerzy, którzy użyją tego samego ataku mogą odczytać logi połączeń i SMS, zmienić telefony przypisane do konta, a nawet mogą zakupić nowy telefon.

Przed ujawnieniem swoich ustaleń, Burke spędził miesiąc próbując ostrzec Virgin Mobile. Jeden przedstawiciel na profilu centrum pomocy operatora na Twitterze skierował programistę do zakładki „Uwierzytelnianie i Kontakt”. w sekcji Ogólne Warunki Ta sekcja omawia, jak działa PIN i wyjaśnia, że spółka może

traktować każdą osobę, która przedstawi twoje dane uwierzytelniające, które uznamy za wystarczające do dostępu do konta, jako jego właściciela lub autoryzowanego użytkownika konta do ujawnienia informacji lub zmian w usługach”.

Burke pisze, że został skierowany do przedstawiciela z Sprint Executive and Regulatory Services, który w końcu powiedział mu żeby nie oczekiwał dalszych działań ze strony Virgin Mobile. W tym momencie Burke postanowił, że wszystko upubliczni. Do tej pory nie ma informacji, że ktoś wykorzystał upublicznione informacje i włamał się do kont użytkowników Virgin Mobile.

Sam operator milczy.

Redaktor działu aktualności WebSecurity.pl. Z zamiłowania i wykształcenia pedagog. Propagatorka łączenia wolnego i otwartego oprogramowania i edukacji. Miłośniczka kawy, czekolady i książek psychologicznych.

Jedna odpowiedź do “Konta użytkowników Virgin Mobile łatwe do zhakowania”

  1. avatar mobil daihatsu ayla napisał(a):

    You will ensure it is seem really easy using your powerpoint presentation on the other hand discover the following topic being basically another thing i always feel I’d certainly not recognize. It kind of feels far too tricky and also massive to me. We are having a look in advance to your subsequent send, My spouse and i? lmost all make an effort to get the hang of them!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *