安全漏洞使T-Mobile AT＆T帐户PIN容易受到攻击

虽然这不像骇客进入运营商的客户数据库那样糟糕，但最近出现的一对在线安全漏洞使T-Mobile和AT&T客户面临风险。安全研究人员发现了第三方网站上的漏洞，这些漏洞使客户帐户PIN在用于帐户验证时可能会被暴露。

对于T-Mobile而言，实际上是苹果的在线商店存在安全风险。在购买iPhone的结帐过程中，当被要求验证其T-Mobile帐户信息时，允许用户无限制地尝试输入PIN或社会保险号的后四位数。这意味着攻击者尝试了任意多的尝试来猜测或输入这些数字之一的所有可能性。

对于AT&T来说，问题出在Asurion的网站上，该公司负责处理运营商的电话保险。如果有人要提出索赔并知道该帐户的电话号码，则该网页将为他们提供无限制的输入PIN的尝试。

如果遭到破坏，这些PIN可能会导致SIM卡和电话号码被劫持，进而使攻击者可以访问任何依赖于文本消息的两因素身份验证。对于T-Mobile和AT&T客户而言，幸运的是，运营商已经确认安全问题在引起关注后立即得到解决。