Dernières nouvelles sur la violation de données sur T-Mobile Les informations personnelles de 53 millions de personnes ont été divulguées, et leurs noms, adresses et même leurs numéros de sécurité sociale ont été divulgués en ligne. Les personnes concernées sont non seulement confrontées au risque de vol d’informations personnelles, mais également à la menace croissante de l’échange de carte SIM, qui pourrait permettre à un attaquant de pirater un compte en ligne. Les experts en sécurité donnent des conseils aux consommateurs sur la façon de se protéger, mais certaines entreprises bien connues bloquent activement la protection de leurs comptes.
Échange de carte SIM
Avec les échanges SIM, les criminels volent le numéro de téléphone de la victime en persuadant l’opérateur mobile de transférer le service téléphonique de la victime sur une carte SIM qu’ils gèrent. La violation de T-Mobile permet aux criminels de le faire plus facilement car elle a divulgué des réponses aux questions que les opérateurs mobiles pourraient poser avant d’accepter de changer la carte SIM de la victime. « Dans un scénario fictif, si le service client demande à un attaquant un numéro de sécurité sociale et les quatre derniers chiffres d’une carte de crédit pour accéder à son compte, l’attaquant peut répondre correctement à ces défis », a-t-il déclaré. Kevin Lee, chercheur en sécurité et doctorant à la School of Computer Science de l’Université de Princeton. « Une fois à l’intérieur, un attaquant peut demander à un agent du service client de mettre à jour la carte SIM de son compte vers une nouvelle carte qu’il possède, qui transmet essentiellement tous les appels et messages entrants à l’attaquant. Sera. « De nombreux comptes en ligne permettent aux utilisateurs de réinitialiser leurs mots de passe et de recevoir des codes d’authentification à deux facteurs (2FA) par SMS, ce qui pourrait permettre à un attaquant de voler le numéro de téléphone d’un utilisateur et de pirater le compte en ligne…Les experts en sécurité conseillent aux utilisateurs touchés par une violation de T-Mobile de protéger leurs comptes en activant des méthodes 2FA non basées sur SMS, telles que des applications d’authentification et des clés de sécurité. Cependant, toutes les entreprises n’offrent pas cette option à leurs utilisateurs, et même si elles le font, de nombreuses entreprises sont vulnérables aux méthodes d’authentification des utilisateurs, mettant en danger leurs comptes clients.
Les entreprises mettent leurs clients en danger
Comme Venmo l’attaquant réinitialise le mot de passe et envoie le code par SMS pour éviter d’avoir besoin d’un authentificateur et pirater le compte de la victime pour pirater le site Web peut faire Par exemple Les paramètres 2FA de WordPress Comme Lee a dit qu’il était « préoccupé », les entreprises n’ont parfois pris aucune mesure parce qu’elles ne se sont pas rendu compte que la façon dont elles authentifient les utilisateurs n’était pas sécurisée. D’autres ont reconnu le problème, mais il a dit qu’il avait choisi de ne pas apporter de modifications « par peur d’ennuyer les clients ».
Ce qu’une entreprise peut faire
Les entreprises n’ont pas besoin de prendre des mesures drastiques pour protéger les comptes de leurs clients contre le piratage après le remplacement de la carte SIM. Lee a souligné l’importance de la modélisation des menaces. Il s’agit du processus d’analyse des manières potentielles dont un attaquant peut interagir avec votre site pour identifier et corriger de manière proactive les vulnérabilités. Certains des sites les plus sécurisés qu’ils ont analysés étaient probablement engagés dans la modélisation des menaces et se sont identifiés comme des problèmes de réinitialisation de mot de passe et permettant l’envoi de codes 2FA par SMS. Ces sociétés « n’autorisent pas la récupération de l’authentification par SMS pour les comptes avec la connexion SMS en 2 étapes activée », a déclaré Lee. Cela offre au moins une certaine protection si l’utilisateur a échangé sa carte SIM, car l’attaquant ne pourrait pas accéder au compte de la victime sans obtenir le mot de passe autrement. Lee et ses collègues ont également encouragé les entreprises à proposer à leurs clients au moins une option 2FA sécurisée, telle que des applications de système d’authentification et des clés de sécurité. Comme eux Mise en évidence, ces options sont non seulement plus sécurisées, mais permettent également une authentification plus rapide et peuvent être utilisées sans connexion Internet. « SMS 2FA obligatoire en tant que sauvegarde peut ne pas répondre aux besoins de sécurité de tout le monde et peut même nuire aux utilisateurs », a déclaré Lee dans un e-mail, si cela est fait sans le savoir. J’ai souligné. « La transparence est très importante », a-t-il ajouté, ajoutant que les entreprises doivent fournir aux utilisateurs des informations claires sur les méthodes qu’ils peuvent utiliser pour accéder à leurs comptes. De cette façon, au moins les utilisateurs disposant d’un authentificateur remarqueront que leur compte est piraté car SMS 2FA est activé silencieusement en tant que sauvegarde même s’ils remplacent la carte SIM. Vous ne serez pas aveugle. Mais les entreprises qui ne font rien aident les cybercriminels, pas les clients. Après la violation de T-Mobile, les entreprises empêchent les clients de protéger leurs comptes Lien source Après la violation de T-Mobile, les entreprises empêchent les clients de protéger leurs comptes