Après la violation de T-Mobile, les entreprises empêchent les clients de protéger leurs comptes

Dernières nouvelles sur la violation de données sur T-Mobile Les informations personnelles de 53 millions de personnes ont été divulguées, et leurs noms, adresses et même leurs numéros de sécurité sociale ont été divulgués en ligne. Les personnes concernées sont non seulement confrontées au risque de vol d’informations personnelles, mais également à la menace croissante de l’échange de carte SIM, qui pourrait permettre à un attaquant de pirater un compte en ligne. Les experts en sécurité donnent des conseils aux consommateurs sur la façon de se protéger, mais certaines entreprises bien connues bloquent activement la protection de leurs comptes.

Échange de carte SIM

Avec les échanges SIM, les criminels volent le numéro de téléphone de la victime en persuadant l’opérateur mobile de transférer le service téléphonique de la victime sur une carte SIM qu’ils gèrent. La violation de T-Mobile permet aux criminels de le faire plus facilement car elle a divulgué des réponses aux questions que les opérateurs mobiles pourraient poser avant d’accepter de changer la carte SIM de la victime.  » Dans un scénario fictif, si le service client demande à un attaquant un numéro de sécurité sociale et les quatre derniers chiffres d’une carte de crédit pour accéder à son compte, l’attaquant peut répondre correctement à ces défis « , a-t-il déclaré. Kevin Lee, chercheur en sécurité et doctorant à la School of Computer Science de l’Université de Princeton.  » Une fois à l’intérieur, un attaquant peut demander à un agent du service client de mettre à jour la carte SIM de son compte vers une nouvelle carte qu’il possède, qui transmet essentiellement tous les appels et messages entrants à l’attaquant. Sera.  » De nombreux comptes en ligne permettent aux utilisateurs de réinitialiser leurs mots de passe et de recevoir des codes d’authentification à deux facteurs (2FA) par SMS, ce qui pourrait permettre à un attaquant de voler le numéro de téléphone d’un utilisateur et de pirater le compte en ligne…Les experts en sécurité conseillent aux utilisateurs touchés par une violation de T-Mobile de protéger leurs comptes en activant des méthodes 2FA non basées sur SMS, telles que des applications d’authentification et des clés de sécurité. Cependant, toutes les entreprises n’offrent pas cette option à leurs utilisateurs, et même si elles le font, de nombreuses entreprises sont vulnérables aux méthodes d’authentification des utilisateurs, mettant en danger leurs comptes clients.

Les entreprises mettent leurs clients en danger

L’année dernière, Lee et une équipe de chercheurs mettent en garde De nombreuses entreprises bien connues sont conscientes de ces vulnérabilités dans les méthodes d’authentification des utilisateurs. L’application de paiement mobile Venmo est l’une des sociétés qu’ils ont contactées. Les utilisateurs de Venmo peuvent demander une réinitialisation de mot de passe par SMS et recevront également un code 2FA par SMS. Il n’y a pas d’option pour utiliser une méthode plus sécurisée telle qu’un système d’authentification. Cela signifie que si la carte SIM de l’utilisateur est échangée, l’attaquant détournera le compte Venmo de la victime et disposera de tout ce dont il a besoin pour gérer son argent. Comme Venmo, les utilisateurs peuvent réinitialiser leur mot de passe par SMS. Contrairement à Venmo, les utilisateurs peuvent configurer un authentificateur, mais les avantages de sécurité de l’authentificateur sont complètement compromis car ils doivent recevoir le code 2FA par SMS en guise de sauvegarde. l’attaquant réinitialise le mot de passe et envoie le code par SMS pour éviter d’avoir besoin d’un authentificateur et pirater le compte de la victime pour pirater le site Web peut faire. Par exemple, dans mon compte,  » J’ai activé la vérification en deux étapes sur mon compte. C’est un geste intelligent. Lorsque je me connecte à WordPress.com, j’ai un nom d’utilisateur et un mot de passe, ainsi qu’un chemin unique généré par l’application sur mon appareil mobile. Vous devez entrer le code. « Faites défiler vers le bas pour voir la méthode de sauvegarde, mais pas le SMS. (Crédit image : Rebecca Morris) (Crédit image : Rebecca Morris) Dans l’ensemble, Lee et ses collègues ont identifié 17 sites Web qui risquaient de détourner le compte d’un client après un échange de carte SIM. Seuls 4 sur 17 ont résolu le problème. Après avoir testé avec mon compte et contacté le service client pour confirmer. Comme Lee a dit qu’il était « préoccupé », les entreprises n’ont parfois pris aucune mesure parce qu’elles ne se sont pas rendu compte que la façon dont elles authentifient les utilisateurs n’était pas sécurisée. D’autres ont reconnu le problème, mais il a dit qu’il avait choisi de ne pas apporter de modifications « par peur d’ennuyer les clients ».

Ce qu’une entreprise peut faire

Les entreprises n’ont pas besoin de prendre des mesures drastiques pour protéger les comptes de leurs clients contre le piratage après le remplacement de la carte SIM. Lee a souligné l’importance de la modélisation des menaces. Il s’agit du processus d’analyse des manières potentielles dont un attaquant peut interagir avec votre site pour identifier et corriger de manière proactive les vulnérabilités. Certains des sites les plus sécurisés qu’ils ont analysés étaient probablement engagés dans la modélisation des menaces et se sont identifiés comme des problèmes de réinitialisation de mot de passe et permettant l’envoi de codes 2FA par SMS. Ces sociétés « n’autorisent pas la récupération de l’authentification par SMS pour les comptes avec la connexion SMS en 2 étapes activée », a déclaré Lee. Cela offre au moins une certaine protection si l’utilisateur a échangé sa carte SIM, car l’attaquant ne pourrait pas accéder au compte de la victime sans obtenir le mot de passe autrement. Lee et ses collègues ont également encouragé les entreprises à proposer à leurs clients au moins une option 2FA sécurisée, telle que des applications de système d’authentification et des clés de sécurité. Comme eux Mise en évidence, ces options sont non seulement plus sécurisées, mais permettent également une authentification plus rapide et peuvent être utilisées sans connexion Internet.  » SMS 2FA obligatoire en tant que sauvegarde peut ne pas répondre aux besoins de sécurité de tout le monde et peut même nuire aux utilisateurs « , a déclaré Lee dans un e-mail, si cela est fait sans le savoir. J’ai souligné.  » La transparence est très importante « , a-t-il ajouté, ajoutant que les entreprises doivent fournir aux utilisateurs des informations claires sur les méthodes qu’ils peuvent utiliser pour accéder à leurs comptes. De cette façon, au moins les utilisateurs disposant d’un authentificateur remarqueront que leur compte est piraté car SMS 2FA est activé silencieusement en tant que sauvegarde même s’ils remplacent la carte SIM. Vous ne serez pas aveugle. Mais les entreprises qui ne font rien aident les cybercriminels, pas les clients. Après la violation de T-Mobile, les entreprises empêchent les clients de protéger leurs comptes Lien source Après la violation de T-Mobile, les entreprises empêchent les clients de protéger leurs comptes