Virgin Mobile USA online Abonnent Konten problemlos gehackt werden können, sagt Entwickler

2013-12-30  |  Comebuy News

Die online-Konten von Virgin Mobile USA Abonnenten sind anfällig für brute-Force-Angriffe weil das Unternehmen Kunden, schwache Kennwörter auf ihrer Website zu verwenden Kräfte nach einem Softwareentwickler.

Comebuy Verwandte Artikel: Virgin Mobile verkaufen Prepaid, keine Vertrag iPhoneMoney Übertragungen zu heißesten mobile AppGalaxy kommt Nexus in Kanada auf Dez. 7; keine US Schiff Datum YetPC Benutzer auf einfache PasswordsMasterCard, Airtel mobile Plan angesichts Cybercrime fliegt angewiesen

"Virgin Mobile zwingt Sie Ihre Telefonnummer als Benutzernamen und eine 6-stellige Zahl als Passwort zu verwenden," sagte Kevin Burke, als Software Engineer bei Wolke Kommunikationsfirma Twilio Montag in einem Blog-Post. "Das heißt es gibt nur 1 Million möglichen Kennwörter können, die Sie wählen."

"Das ist schrecklich unsicher," sagte Burke. "Vergleichen eine 6-stellige Zahl mit einem zufällig generierten 8-Buchstaben-Kennwort mit Großbuchstaben, Kleinbuchstaben und Ziffern - letztere hat 218,340,105,584,896 Kombinationsmöglichkeiten."

Burke behauptet, dass er ein Programm, die die PIN-Nummer für jede Virgin Mobile USA-online-Konto in weniger als einem Tag bestimmen kann schrieb, solange die Zieltelefonnummer ist bekannt, und die er erfolgreich getestet, gegen sein eigenes Konto.

Sobald in einem Virgin Mobile-online-Konto, ein Angreifer lesen kann des Kontoinhabers Anruf und SMS-Protokolle, ändern Sie das Mobilteil mit dem Konto verknüpften, ändern Sie die e-Mail-Adresse und die Postadresse, kaufen Sie ein neues Handy mit der Kreditkartendaten auf Datensatz und vieles mehr, sagte Burke.

Burke behauptet, dass er Virgin Mobile USA und seine Muttergesellschaft, Sprint Nextel, des Sicherheitsproblems am 15 mitgeteilt, und er wurde zunächst gesagt, dass die Angelegenheit geprüft werden wird. Jedoch sagte am 14. September in Antwort auf eine Anforderung für ein Status-Update, ein Sprint-Vertreter, dass keine weiteren Aktionen von Virgin Mobile, sagte Burke ausgeschöpft werden.

Es scheint, dass Virgin Mobile USA hat einige Schutzmechanismus gegen brute-Force-Angriffe, die in ihrer Website integriert. Nach Burke, ist dieser Schutz jedoch nur unzureichend umgesetzt.

"Manche erwähnen sie frieren Sie nach 4 ungültige Anmeldeversuche" Burke sagte am Dienstag per e-Mail. "Aber du kannst diese Einschränkung durch a) Ihre Cookies löschen, oder b) nicht per Web-Browser wie Google Chrome oder Firefox versucht die Anmeldung versucht."

"Ich habe versucht 100 schlechte Anmeldungen in einer Zeile, gefolgt von meiner guten Anmeldung, ohne immer gesperrt, letzte Nacht," sagte der Entwickler. "Ein Angreifer könnte dasselbe tun."

Wenn Sie ihre PIN auf der Virgin Mobile-Website auswählen, Kunden sollen nicht mehr als 3 identische Ziffern hintereinander--zum Beispiel 2222-- und nicht mehr als 3 Folgenummern--z. B. 2345 verwenden. Dies soll wahrscheinlich PINs mehr zufällige und härter zu erraten zu machen.

Ironischerweise verringert dies tatsächlich die Anzahl der Varianten, die ein Angreifer versuchen um eine PIN-Nummer zu ermitteln, wenn Sie einen brute-Force-Angriff zu verwenden.

"Praktisch gesehen es nicht viel Unterschied zwischen 900 K [Tausende] mögliche Kombinationen und 1 Million Kombinationen", sagte Burke. "Es fügt ein wenig Zeit, aber was ist ein Extra paar Minuten an einen Computer."

"sie [Virgin Mobile USA] sollte Leuten erlauben, jedes Zeichen in Kennwörtern verwenden, und legen Sie wahrscheinlich ein * mindestens * 6 Zeichen in einem Kennwort" Burke sagte. "Wie ich in den Blog-Eintrag erwähnt, besitzt ein 8 Zeichen-Kennwort mit 62 Möglichkeiten für jedes Zeichen 218 Billionen verschiedene Kombinationsmöglichkeiten, so dass es unpraktisch, brute-Force während unserer Lebenszeit."

Virgin Mobile USA zurück keine Anforderung für Kommentar.

« Back