هکرها ممکن است به اطلاعات شخصی میلیون‌ها کاربر T-Mobile دسترسی داشته باشند!
نویسنده:زینب حاجی قربانی
ارسال شده در:20 مهر 1396، 15:30

هکرها ممکن است به اطلاعات شخصی میلیون‌ها کاربر T-Mobile دسترسی داشته باشند!

اشکالی که در وب سایت T-Mobile رخ داده است، ممکن است به هکرها اجازه دهد تا بتوانند اطلاعات شخصی شما را مشاهده نمایند. این اشکال که اکنون پچ شده، این امکان را برای هکرها فراهم می‌کرد تا به آدرس ایمیل، شماره‌های موجود در دفترچه تلفن گوشی‌ و حتی شماره IMSI (یک شماره انحصاری که برای شناسایی مشترکین استفاده می‌شود) دسترسی داشته باشند. بر اساس گفته‌های محققی که متوجه بروز این اشکال شد، هیچ راهی برای جلوگیری از نوشتن یک اسکریپت و یافتن اطلاعات شخصی تمامی 67 میلیون کاربر T-Mobile وجود ندارد.

محقق، کاران سانی، از شرکت استارتاپی امنیتی Secure7 به گزارشگر سایت خبری مادربُرد گفت:

«شرکت T-Mobile دارای 76 میلیون کاربر است و یک هکر می‌تواند اسکریپتی بنویسد و اجرا کند که منجر به خراب شدن داده‌ها و اطلاعات شخصی تمام این 76 میلیون کاربر شود. این اطلاعات شامل نام، پست الکترونیکی، شماره حساب‌های بانکی و شماره‌های دیگر این نام کاربری که معمولاً شماره‌های اعضای خانواده وی است، می‌شود. هکرها پس از دسترسی به این اطلاعات می‌توانند یک پایگاه داده قابل جست‌وجو از اطلاعات دقیق و صحیح کاربران قربانی شده طراحی کنند و به راحتی به تمامی این اطلاعات دسترسی داشته باشند.»

بدیهی است که این اشکال، پیامدهای امنیتی گسترده‌ای دارد. کاران سانی حتی تا جایی پیش رفت که این اشکال را تحت عنوان « نقص بسیار بحرانی داده‌ها» نامید که بر اثر آن «هر کسی که دارنده یک تلفن همراه T-Mobile است،» می‌تواند در معرض این حمله باشد و اطلاعات آن در اختیار هکرها قرار گیرد. با استفاده از این اطلاعات، هکرها به راحتی می‌توانند با مهندسی اجتماعی به حساب‌های کاربری شما وارد شوند.

در اوایل سال جاری حساب کاربری بسیاری از کاربران شناخته شده یوتیوب از طریق مهندسی اجتماعی هک شد. هکرها با داشتن اطلاعات کافی، می‌توانند به خدمات مشتریان T-Mobile مراجعه کرده و برای یک تلفن همراه مشخص T-Mibile، سیم کارت جدیدی دریافت نمایند. پس از آن، هکر می‌تواند سیم کارت جدید را در تلفن خود قرار داده و شماره تلفن کاربر یوتیوب را برباید. سپس تمام تماس‌ها و پیام‌های کاربر قربانی به جای آن‌که به خودش برسد، توسط هکر دریافت خواهد شد. این اشکال قطعاً پیامدهای امنیتی عمده‌ای در پی خواهد داشت. زیرا بسیاری از سرویس‌ها برای احراز هویت دو مرحله‌ای از برنامه پیام‌رسانی متنی استفاده می‌کنند.

این اشکال در API شرکت T-Mobile دیده شده است. طبق گفته کاران سانی، هنگامی که شما یک شماره موبایل را جست‌وجو می‌کنید، پاسخی که سامانه به شما می‌دهد شامل تمامی اطلاعات حساب مرتبط با آن شماره خواهد بود. T-Mobile می‌گوید: «ما 24 ساعت پس از این‌که متوجه این اشکال شدیم، به طور کامل آن را رفع کردیم.» این شرکت همچنین ادعای کاران سانی مبنی بر این که اطلاعات تمامی مشتریان T-Mobile بر اثر این اشکال در معرض خطر قرار گرفته است را انکار کرد. T-Mobile می‌گوید تنها اطلاعات بخش کوچکی از مشتریان تحت تاثیر این نقص امنیتی قرار گرفته است و هیچ نشانه‌ای مبنی بر این‍که اطلاعات مجموعه گسترده‌ای از کاربران در اختیار هکرها قرار گرفته است، وجود ندارد.

یک هکر blackhat این ادعای شرکت T-Mobile را نقص کرده است. پس از آن‌که ابتدا Motherboard اطلاعات خود را پیرامون این موضوع منتشر کرد، یک هکر با نویسنده خبر تماس گرفت تا به آن‌ها اطلاع دهد که قبل از پچ شدن این نقص امنیتی، هفته‌ها به طور گسترده از آن سوء استفاده می‌شده است. این هکر حتی برای اثبات ادعای خود، جزئیات اطلاعات حساب نویسنده را نیز برای آن‌ها ارسال کرد. هنگامی‌که در رابطه با ادعای هکر با T-Mobile تماس گرفته شد، آن‌ها این طور پاسخ دادند:

«ما این آسیب‌پذیری را که توسط یک محقق گزارش شده بود، در کمتر از 24 ساعت پس از اطلاع از آن رفع کردیم. و ما تایید می‌کنیم که تمامی راه‌های معمول و شناخته‌شده برای بهره‌برداری از اطلاعات شخصی کاربران توسط هکرها را بسته‌ایم. از زمانی که ما متوجه این نقص امنیتی شدیم، هیچ نشانه‌ای مبنی بر این‌که حساب‌های کاربران تحت تاثیر این آسیب‌پذیری قرار گرفته‌ است، وجود ندارد.»

صرف نظر از این‌که چه تعداد از مشتریان T-Mobile تحت تاثیر این نشت اطلاعاتی قرار گرفته‌اند یا چه میزان از اطلاعات شخصی آن‌ها در اختیار هکرها قرار گرفته است، ما به مشتریان T-Mobile پیشنهاد می‌کنیم از اطلاعات خود بیش از پیش محافظت کنند. به عنوان مثال، دارنده‌ی حساب می‌تواند برای حساب خود یک رمز عبور بگذارد و از مواردی نظیر صدور سیم کارت جدید یا اضافه شدن خطوطی به حساب کاربری خود جلوگیری کند. با توجه به رویدادهای اخیر، این کار ایده‌ی چندان بدی نیست.

منبع: androidauthority

برای آگاهی از آخرین مقالات مجله پلازا در کانال تلگرام ما عضو شوید t.me/plazamag عضویت در کانال تلگرام
دیــدگاههای کاربـــران
بارگذاری ...
دیدگاه خود را با ما به اشتراک بگذارید

نشانی ایمیل شما در مجله خبری پلازا منتشر نخواهد شد. بخش‌هایی که با علامت * مشخص شده اند اجباری هستند.

0/1500
captcha