La fuite de données la plus récente de T-Mobile a divulgué les informations personnelles de 53 millions de personnes, avec des noms, des adresses et même des numéros de sécurité sociale divulgués en ligne. Les personnes concernées sont non seulement confrontées au risque d’usurpation d’identité, mais également à la menace croissante de l’échange de carte SIM qui peut permettre aux attaquants de détourner leurs comptes en ligne. Alors que des experts en sécurité ont donné des conseils aux consommateurs sur la façon de se protéger, certaines entreprises bien connues les empêchent activement de sécuriser leurs comptes.
Échanges SIM
Dans un échange de carte SIM, les criminels volent le numéro de téléphone de leur victime en convainquant l’opérateur mobile de transférer le service téléphonique de la victime sur une carte SIM qu’ils contrôlent. La violation de T-Mobile permet aux criminels de le faire plus facilement car elle a divulgué des réponses aux questions que l’opérateur mobile pourrait poser avant d’accepter de changer la carte SIM de la victime. « Dans un scénario hypothétique, si le service client demande à un attaquant les quatre derniers chiffres de votre numéro de sécurité sociale et de votre carte de crédit pour accéder à votre compte, l’attaquant peut désormais répondre correctement à ces défis », note Kevin Lee, chercheur en sécurité et Doctorant au département d’informatique de l’Université de Princeton. « Une fois à l’intérieur, l’attaquant peut demander à l’agent du service client de mettre à jour la carte SIM de votre compte vers une nouvelle en sa possession, ce qui détournera essentiellement tous vos appels et messages entrants. vers l’attaquant. » Autant de comptes en ligne le permettent aux utilisateurs. pour réinitialiser leurs mots de passe et recevoir des codes d’authentification à deux facteurs (2FA) par SMS, une fois qu’un attaquant vole le numéro de téléphone d’un utilisateur, il peut également pirater ses comptes en ligne. Les experts en sécurité ont conseillé aux personnes touchées par la violation de T-Mobile de protéger leurs comptes en activant des méthodes 2FA non basées sur SMS, telles que des applications d’authentification ou des clés de sécurité. Mais toutes les entreprises n’offrent pas cette option à leurs utilisateurs et même lorsqu’elles le font, beaucoup présentent encore des vulnérabilités dans la façon dont elles authentifient leurs utilisateurs, mettant ainsi les comptes clients en danger.
Les entreprises mettent leurs clients en danger
Comme Venmo l’attaquant peut réinitialiser son mot de passe et contourner le besoin d’un authentificateur en lui envoyant un code par SMS SMS est activé en tant que sauvegardecom (Crédit image : Rebecca Morris) (Crédit image : Rebecca Morris) Dans l’ensemble comme je l’ai confirmé en testant avec mes propres comptes et en contactant le service client. Dans certains cas, les entreprises n’ont pas pris de mesures parce qu’elles ne comprenaient pas que la façon dont elles authentifiaient les utilisateurs n’était pas sécurisée, ce que Lee a qualifié de « préoccupant ». D’autres ont reconnu le problème, a-t-il dit, mais ont choisi de ne pas apporter de modifications « par peur de déranger les clients ».
Ce que les entreprises peuvent faire
Les entreprises n’ont pas à prendre de mesures drastiques pour protéger les comptes de leurs clients contre le piratage après un échange de carte SIM. Lee a souligné l’importance de la modélisation des menaces, un processus dans lequel les entreprises analysent les moyens potentiels pour un attaquant d’interagir avec leur site afin de identifier les vulnérabilités et les corriger à l’avance. Quelques-uns des sites les plus sécurisés qu’ils ont analysés s’étaient vraisemblablement engagés dans la modélisation des menaces et avaient eux-mêmes identifié le problème en autorisant l’envoi de réinitialisations de mot de passe et de codes 2FA par SMS. récupération authentifiée pour les comptes pour lesquels la connexion SMS en 2 étapes est activée », a déclaré Lee. Cela offre au moins une certaine protection si un utilisateur est permuté avec la carte SIM, car les attaquants ne pourront pas accéder au compte de la victime à moins d’avoir également obtenu leur mot de passe par d’autres moyens. Lee et ses collègues ont également recommandé aux entreprises de donner à leurs clients au moins une option 2FA sécurisée, comme une application d’authentification ou une clé de sécurité. Comme ils l’ont souligné, ces options ne sont pas seulement plus sécurisées, mais permettent une authentification plus rapide et peuvent être utilisées sans connexion Internet. Lee a souligné par e-mail que mandater SMS 2FA en tant que sauvegarde « pourrait ne pas répondre aux besoins de sécurité de tout le monde et pourrait même nuire aux utilisateurs », en particulier lorsque cela est fait à leur insu. Il a ajouté que « la transparence est cruciale » et que les entreprises doivent fournir aux utilisateurs des informations claires sur les méthodes qu’ils peuvent utiliser pour accéder à leur compte. De cette façon, au moins un utilisateur disposant d’un authentificateur ne sera pas pris au dépourvu s’il est L’échange de carte SIM et la découverte de leur compte sont toujours piratés car SMS 2FA a été activé silencieusement en tant que sauvegarde. Cependant, les entreprises qui continuent à ne rien faire aident les cybercriminels, pas leurs clients.