Уязвимость на сайте Apple скомпрометировала PIN-коды 77 млн абонентов T-Mobile
Исследователи обнаружили недостаток в безопасности онлайн-магазина Apple, который непреднамеренно выявил более 77 миллионов PIN-кодов клиентов T-Mobile.
Как стало известно, найденная уязвимость позволяла злоумышленникам без ограничений подбирать четырёхзначные PIN-коды к любым мобильным номерам абонентов сотового оператора T-Mobile. Опасность данной проблемы заключается в том, что с помощью полученных данных злоумышленник может пытаться управлять мобильным номером. Более того, у части сотовых операторов PIN-коды их клиентов по умолчанию совпадают с последними четырьмя цифрами номеров социального страхования.
Страница, на которой была обнаружена уязвимость, появляется, когда пользователь решает взять в рассрочку новенький iPhone. Когда покупатель выбирает ежемесячные платежи через T-Mobile, то онлайн-магазин Apple предлагает форму аутентификации, в которой запрашивается номер телефона, а также привязанный к нему PIN-код или же последние четыре цифры номера социального страхования.
Сообщается, что на данной странице возможность бесконечного подбора PIN-кодов работала только с оператором T-Mobile. Исследователи пытались проверять такой метод на этой же странице, но для других операторов (Verizon, Sprint и AT&T), однако в таких случаях срабатывала блокировка после пяти-десяти безуспешных попыток подбора PIN-кодов для различных номеров.
Как только специалисты обнаружили уязвимость — они сразу об этом рассказали представителям компании Apple, которая в свою очередь оперативно устранила проблему. В компании выразили «особую благодарность» за находку, однако отказались подробно комментировать ситуацию. Неизвестно лишь самое важное: были ли PIN-коды абонентов действительно скомпрометированы. Представители T-Mobile опасаются, что злоумышленники успели воспользоваться проблемой безопасности онлайн-магазина, поэтому порекомендовали своим абонентам изменить PIN-код во избежание возможных проблем в дальнейшем.
Также сообщается, что на сайте страховой компании Asurion, численность клиентов которой свыше 300 миллионов, была обнаружена отдельная аналогичная уязвимость, которая позволяла раскрывать пароли клиентов, пользующихся оператором AT&T. Ситуация очень похожая: метод подбора действовал только с одним оператором:
Asurion очень серьёзно относится к безопасности и конфиденциальности клиентов, и поэтому у нас есть постоянная многоуровневая программа обеспечения безопасности для предотвращения проблем безопасности. Мы пока что расследуем сообщение исследователей об уязвимости, но сразу же внедрили меры для решения этих проблем, чтобы обеспечить безопасность счетов клиентов, — сообщила Николь Миллер, пресс-секретарь Asurion.
Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!
Читать первым в Telegram-канале «Код Дурова»