Falha de segurança na Apple Store Online

Uma falha de segurança na loja online da Apple expôs os PINs da conta de mais de 72 milhões de clientes da T-Mobile, relata o BuzzFeed News.

A vulnerabilidade foi descoberta pelos pesquisadores de segurança Phobia e Nicholas "Convict" Ceraolo, que também encontraram uma falha semelhante no site da empresa de telefonia Asurion, que expôs os PINs da conta da AT&T.

Tanto a Apple quanto a Asurion corrigiram as falhas do site que deixavam os PINs vulneráveis ​​depois de aprender sobre eles no BuzzFeed News . A Apple optou por não fornecer mais comentários sobre a situação, mas disse ao BuzzFeed News que é "muito grato aos pesquisadores que encontraram a falha".

PINs, ou senhas, são números usados ​​como uma medida de segurança adicional da conta por muitas operadoras nos Estados Unidos. Os PINs de dispositivos móveis normalmente são a última linha de defesa para uma conta de celular, pois os sites da operadora e a equipe de suporte solicitarão o PIN para confirmação antes de fazer alterações na conta.

O hacking de SIM, que usa engenharia social para levar a equipe de suporte da operadora a transferir o número de telefone de uma pessoa para um novo SIM, se tornou cada vez mais predominante devido ao número de contas (banco, email, mídia social etc.) número de telefone. Um PIN é usado como um mecanismo de defesa contra a invasão de SIM, o que significa que os PINs expostos podem ser particularmente perigosos.

O acesso aos PINs da T-Mobile no site da Apple envolveu um ataque de força bruta, em que um hacker usou o software para inserir várias combinações numéricas diferentes para adivinhar o correto. /p>

Como o BuzzFeed News explica, após iniciar uma compra da Apple na loja on-line da Apple e selecionar opções de pagamento mensais pela T-Mobile, o site da Apple direciona os usuários para um formulário de autenticação pedindo um número T-Mobile e senha da conta ou quatro últimos dígitos de um número de previdência social (que a maioria das operadoras usa no lugar de um PIN quando um não foi definido).

A página permitia tentativas de entrada infinitas no campo PIN, permitindo o ataque de força bruta que permitia que hackers adivinhassem PINs associados a um número de telefone da T-Mobile.

A vulnerabilidade de segurança parece ter sido limitada às contas da T-Mobile, já que a mesma página de validação para outras operadoras no site da Apple usa um limite de taxa que bloqueia o acesso ao formulário por 60 minutos após cinco a 10 entradas incorretas. Como as outras páginas da operadora tiveram a limitação de taxa ativada, é provável que a Apple tenha cometido um erro na página da T-Mobile.<\p>

De acordo com Ceraolo, a vulnerabilidade provavelmente se deve a um erro de engenharia cometido ao conectar a API de validação de contas da T-Mobile ao site da Apple.

Uma vulnerabilidade semelhante no site da Asurion expôs um número não especificado de PINs da conta da AT&T. Um porta-voz da AT & T disse que está trabalhando com a Asurion para investigar o problema e "tomará qualquer ação adicional que possa ser apropriada".

Foi necessário um número de telefone para esses dois ataques, limitando o número de pessoas que podem ter sido afetadas, mas os clientes da AT&T e da T-Mobile que estão preocupados com a segurança de sua conta devem escolher um novo PIN.

via MacRummors.