Além de serem os pontos de conexão, os números móveis há muito são associados à identidade dos usuários e é isso que foi comprometido em uma grande violação de segurança ocorrida recentemente. De acordo com o Buzzfeed News, duas falhas individuais - uma na loja online da Apple e outra no site da seguradora de telefonia, Asurion - podem ter revelou informações sobre até 77 milhões de clientes da T-Mobile e AT&T.
Expostas pelos pesquisadores de segurança Nicholas “Convict” Ceraolo e Phobia, as falhas de segurança revelaram os PINs das contas dos clientes das duas operadoras. Ironicamente, estes PINs têm o objetivo de proteger os dados sobre usuários de telefones celulares de serem roubados. Esses PINs são usados para adicionar uma camada de segurança e impedir que hackers invadam seu cartão SIM ou sabotem privilégios como autenticação baseada em SMS. Com PINs roubados, um o hacker pode até mesmo solicitar um SIM duplicado para explorar seu smartphone para atividades ilegais.
De acordo com o pesquisador, enquanto a vulnerabilidade da Apple que causou o vazamento de PINs da T-Mobile foi devido a um erro técnico na API fornecida pela operadora o que facilita o pagamento de contas mensais. Em contraste, O site de Asurion abriu espaço para um ataque bruto - ou adivinhação por computador de uma senha ou código de determinado dígito repetidamente até que um código seja aceito - porque não havia nenhuma restrição no número de vezes que alguém poderia tentar esses pinos para AT&T enquanto outras operadoras tinham um limite de taxa.
Uma vez que a maioria desses PINs tem quatro dígitos, é bastante fácil determiná-los por ataque bruto "em um prazo razoável.”Após informações do Buzzfeed News, ambos Apple e Asurion corrigiram as vulnerabilidades em suas respectivas plataformas.
Enquanto a T-Mobile e a Apple, além de agradecer ao pesquisador, mantiveram silêncio sobre o assunto, a AT&T respondeu dizendo “Além das várias camadas de segurança que temos para ajudar a proteger nossos clientes, continuaremos a trabalhar com a Asurion para investigar isso. Tomaremos qualquer ação adicional que possa ser apropriada.“