Si no estoy mal 'Virgin Mobile' es una de las operadoras telefónicas mas grandes de Estados Unidos y para sorpresa le han descubierto una vulnerabilidad de alto impacto que según parece no han resuelto, ni subsanado, a pesar de que esta fue expuesta desde mediados de Agosto.
Bueno, todo comienza cuando el programador 'Kevin Burke' descrubre que explotando la vulnerabilidad un atacante podría acceder a los registros de mensajes de texto y llamadas, la dirección física y la contraseña, cambiar la dirección de correo electrónico de los usuarios y cambiar el dispositivo asociado a un número de teléfono específico.... es decir que descaro de vulnerabilidad aún sin corregir.
Al parecer toda esta vulnerabilidad apunta a que es culpa de la forma en la que la operadora telefónica administra el 'login' o autenticación de usuario, ya que sus clientes al iniciar sesión en sus cuentas TIENEN que usar su número telefónico como nombre de usuario y un número de 6 dígitos como contraseña, lo que realmente hace que para un atacante sea demasiado fácil romper la contraseña con un ataque de fuerza bruta, teniendo en cuenta que en esta no hay símbolos, letras mayúsculas, etc, como es común en las mejores prácticas de seguridad para hacer robusta una contraseña.
Lo mas triste de todo, es que según las pruebas que hizo 'Kevin Burke', las contraseñas pueden ser descubiertas rápidamente, así que si un usuario cambia la contraseña después de ser atacado, el atacante fácilmente podría acceder nuevamente a ella :(.
Realmente es increíble ver como una compañía como esta no le de prioridades a la seguridad de la información de sus usuarios.
Si quieren leer más de la vulnerabilidad, aquí la expuso Kevin Burke.
No hay comentarios:
Publicar un comentario