雖然會暴露年齡,但在諾基亞還能拿下銷量半壁江山的時代,確實會有很多小夥伴“手賤”玩壞 PIN 碼(SIM 卡個人識別密碼),導致自己的小翻蓋、小滑蓋或小直板被鎖,然後就只能跑營業廳求助運營商了。不過,這個已經銷聲匿跡許久的名字最近又上了回頭條,兩名騙子居然利用沃達豐(Vodafone)孱弱的 PIN 碼從捷克用戶手上騙了 2.6 萬美元。
沃達豐會為自家用戶預設 4-6 位的數字密碼,但它們警惕性太差了,預設的密碼強度太低。結果,有兩個不知天高地厚的騙子在嘗試了幾次 1234 這樣的弱智密碼後,居然成功暴力破解了用戶賬戶,他們可是半點技術都不會。
這還沒完,走了狗屎運的他們還發現,只要自己知道一個電話號碼並試出該賬戶的 PIN 碼,就可以通過這個漏洞獲取新的 SIM 卡,連帶照片的證件或郵件確認都不需要。
此外,這兩個騙子拿漏洞賺錢的方法也是別具一格,他們將被盜用的賬戶連上了在線賭博賬號,而且還打開了支付網關。隨後,兩個騙子通過賭博賬號取走錢財,把債務留給了被盜用戶,而自己則大搖大擺去銀行取了現。
這樣的攻擊其實沒什麽技術含量,因此兩個騙子也很快被抓。不過,60 名受害用戶可慘了,他們的賬單上全是欺詐交易,而沃達豐並沒有主動承擔責任,電信巨頭甚至宣稱自家客戶應該為這批欺詐交易負責,因為他們用了這些“弱智”密碼,而事實上它們自己系統的安全短板才是這次事件的罪魁禍首。
雖然沃達豐將 PIN 碼交給用戶時它只是臨時憑證,但電信巨頭並未告知用戶這個代碼需要修改,有些用戶甚至根本不知道自己還有個網絡賬戶。
El Reg 從布拉格軟件開發者 Michal Špaček 那裏了解到了這件事,隨後便在 Twitter 上炮轟起了沃達豐。
“沃達豐稱你的密碼得自己負責,還說服務條款上已經詳細標明。”他寫道。“不過,壞人只知道手機號和密碼就能拿到新 SIM 卡,這點沃達豐是不是該負責?”
隨後,當地報紙也對這一事件進行了報道,實時詐騙的兩個嫌疑人最終分別被判處 2 年和 3 年有期徒刑。
據悉,這些被暴力破解的賬戶大多 2012 年之前就創建了,過去六年裏,用戶在設立手機商店賬戶時也選擇了自己的 6 位密碼。不過,Špaček 並不認為沃達豐新系統的安全性有什麽值得稱贊的。Špaček 的朋友 Michal Illich 多年前也領到過“1234”這樣的隨機密碼,當時他還以為這是機器生成的呢。
據悉,兩個騙子還能通過沃達豐的網絡主頁獲取受害者的生日、組織、銀行賬戶和電話記錄等。還好,他們沒有濫用這些信息為受害者造成進一步傷害。
El Reg 要求沃達豐對此事作出解釋並批評了它們的安全策略,電信巨頭回應稱:“我們很遺憾聽到一些客戶成為犯罪分子有針對性欺詐行為的受害者。我們已明確告知用戶,他們需要用獨特的強密碼才能保護自己免受此類犯罪行為的侵害。沃達豐也一直在與執法部門合作,以確保將責任人繩之以法並對我們的客戶進行補償。
安全認證專家 Per Thorsheim 還告訴 El Reg,沃達豐捷克分部在安全上出問題已經不是一次兩次了,它們哪怕用郵箱地址替代 PIN 碼,也不至於被這種低級騙子給攻破。
“雖然用郵箱當用戶名外加 8 位密碼的政策下一些用戶會用上‘password’這樣的密碼,但獲取大量用戶郵箱可不容易,這樣就能讓犯罪分子望而卻步。”Per Thorsheim 說道。“這件事的瘋狂之處在於,沃達豐的認證設置實在太爛,它們給了‘1234’這樣的弱密碼居然還有臉抱怨用戶不註意安全。”
Thorsheim 還指出,哪怕它們在登陸界面用些速率限制、帳戶鎖定、地理圍欄或基於時間的安全性設置,也能顯著提升自家系統的安全性。此外,他認為捷克的信息專員辦公室應該介入此事,這麽差的個人數據保護確實需要風險分析和數據保護影響評估了。
Tags:
文章來源:http://www.leiphone.com/