En plus d'être les points de connexion, les numéros mobiles ont longtemps été associés à l'identité des utilisateurs et c'est ce qui a été compromis dans une faille de sécurité majeure qui a eu lieu récemment. Selon Buzzfeed News, deux failles individuelles - une dans la boutique en ligne d'Apple et une autre sur le site Web du fournisseur d'assurance téléphonique, Asurion - pourraient avoir a révélé des informations sur pas moins de 77 millions de clients T-Mobile et AT&T.
Exposées par les chercheurs en sécurité Nicholas «Convict» Ceraolo et Phobia, les failles de sécurité ont révélé les codes PIN des comptes des clients des deux opérateurs. Ironiquement, ces Les codes PIN sont ce qui est censé protéger les données sur les utilisateurs de téléphones mobiles contre le vol. Ces codes PIN sont utilisés pour ajouter une couche de sécurité et empêcher les pirates de pirater votre carte SIM ou de saboter des privilèges tels que l'authentification par SMS. Avec des codes PIN volés, un le pirate informatique peut même commander une carte SIM en double pour exploiter votre smartphone pour des activités illégales.
Selon le chercheur, alors que la vulnérabilité d'Apple qui a provoqué la fuite des codes PIN T-Mobile était en raison d'une erreur technique dans l'API fournie par le transporteur ce qui facilite les paiements mensuels des factures. En revanche, Le site Web d'Asurion a laissé place à une attaque brute - ou la supposition assistée par ordinateur d'un mot de passe ou d'un code à plusieurs chiffres jusqu'à ce qu'un code soit accepté - car il n'y avait aucune restriction sur le nombre de fois où l'on pouvait essayer ces broches pour AT&T alors que les autres opérateurs avaient une limite de taux.
La plupart de ces codes PIN étant composés de quatre chiffres, il est assez facile de les déterminer par attaque brute "dans un délai raisonnable.»D'après les informations de Buzzfeed News, les deux Apple et Asurion ont corrigé les vulnérabilités sur leurs plateformes respectives.
Alors que T-Mobile et Apple, en plus de remercier le chercheur, ont gardé le silence sur le problème, AT&T a répondu en disant: "En plus des multiples niveaux de sécurité que nous avons mis en place pour aider à protéger nos clients, nous continuerons à travailler avec Asurion pour enquêter sur ce problème. Nous prendrons toute mesure supplémentaire qui pourrait être appropriée."