Entwickler zeigt Virgin Mobile Login Fehler

2013-12-28  |  Comebuy News

Ein unabhängiger Entwickler hat bekannt gegeben, was er sagt ist ein eklatantes Loch im Virgin Mobile USA Konto Login-System, die das Unternehmen 6 Millionen Abonnenten offen lässt, um anzugreifen.

Comebuy Verwandte Artikel: Virgin Mobile USA online Abonnent Konten können leicht gehackt werden, Entwickler SaysVirgin Mobilfunkteilnehmer gefunden anfällig für HijackingHow Konto des Roten Kreuzes fand seine ID-Management-GrooveDropbox gehen zwei-Faktor, Cloud-basierte single sign-on-Dienst startet immer de factoIntel

Kevin Burke veröffentlicht den Fehler in einem Blog-Post am Montag nach einer Wartezeit von einem Monat für Jungfrau, das Problem zu beheben.

Burke behauptet Jungfrau ist durchgefallen "Web-Sicherheit 101" dadurch Abonnenten ihre Handy-Nummer als einen Benutzernamen und eine sechsstellige Nummer als Passwort zu verwenden, beim online-Zugriff auf ihre Konten einrichten. Die letzteren Blätter nur 1 Million Kennwort-Möglichkeiten.

"Es ist trivial, ein Programm zu schreiben, das alle Mio. möglichen Passwort-Kombinationen, leicht bestimmen die PIN (persönliche Identifikationsnummer) innerhalb eines Tages überprüft", sagte Burke. "Ich habe überprüft dies durch ein Skript zu schreiben, um brute-Force-die PIN-Nummer von meinem eigenen Konto."

In einer Erklärung per e-Mail Dienstag, Virgin Mobile USA Muttergesellschaft, Sprint, sagte, es war Burkes Forderungen auswerten. "Wir sind die Systeme, die wir und die Durchführung von Audits haben um sicherzustellen, dass unsere Standards eingehalten werden auch für Virgin Mobile Überprüfung."

Sprint hat darauf hingewiesen, dass Menschen nach mehreren Fehlversuchen automatisch aus ihren Konten gesperrt sind. Burke behauptet, dass zusätzliche Sicherheitsebene ist unwirksam, wenn es stützt sich auf Cookies legen Sie im Browser auf die Website sagen, daß es das gleiche Computer versucht, auf das Konto zuzugreifen. "sie sind immer noch anfällig für einen Angriff von Personen, die nicht die gleichen Cookies mit jeder Anforderung verwendet wird", sagte Burke.

[Siehe auch: Ã'Â Mobile Sicherheitsbedrohungen sind Erwärmung]Ã'Â

George Tubin, senior Security Strategist für Trusteer, vereinbart, dass ein sechsstelliges Passwort allein nicht sehr sicher gilt. Virgin Mobile könnte jedoch andere Authentifizierungsmechanismen, die der Benutzer, wie z. B. Geräteidentifikation verborgen haben. Darüber hinaus könnte der Lockout-Mechanismus auf der Grundlage von Fehlversuchen Benutzernamen der Person, nicht Browser-Cookies verbunden werden.

"Sehr gut konnten sie andere Dinge in den Hintergrund, die ich, dass sie tun erwartet," sagte Tubin. "Dennoch haben ein sechsstelliges Passwort in der Regel gilt, reicht nicht aus."

Um die Anmeldung sicherer zu machen, könnte Virgin erfordern mehr komplexe Kennwörter und bieten zweistufige Überprüfung, die erfordert ein Passwort und Zugang auf das Mobiltelefon Burke sagte. Nur upping Kennwortanforderungen zu einem acht Zeichen Passwort aus Groß- und Kleinbuchstaben sowie Ziffern die Anzahl der möglichen Kombinationen zu fast 220 Billionen erhöhen.

Ein Hacker mit Kennwort hätte Zugang zu einem Virgin-Abonnenten Anruf und SMS Protokolle und ein Handy mit der Kreditkarte hat der Abonnent auf Datei erwerben konnte. Ein Hacker könnte auch das Mobilteil zugeordnete Rechnung und Start empfangen und die Reaktion auf Anrufe und SMS-Nachrichten für den Abonnenten ändern.

Lesen Sie mehr über Zugriffssteuerung in CSOonlines Access Control Abschnitt.

« Back