虽然会暴露年龄,但在诺基亚还能拿下销量半壁江山的时代,确实会有很多小伙伴“手贱”玩坏 PIN 码(SIM 卡个人识别密码),导致自己的小翻盖、小滑盖或小直板被锁,然后就只能跑营业厅求助运营商了。不过,这个已经销声匿迹许久的名字最近又上了回头条,两名骗子居然利用沃达丰(Vodafone)孱弱的 PIN 码从捷克用户手上骗了 2.6 万美元。
沃达丰会为自家用户预设 4-6 位的数字密码,但它们警惕性太差了,预设的密码强度太低。结果,有两个不知天高地厚的骗子在尝试了几次 1234 这样的弱智密码后,居然成功暴力破解了用户账户,他们可是半点技术都不会。
这还没完,走了狗屎运的他们还发现,只要自己知道一个电话号码并试出该账户的 PIN 码,就可以通过这个漏洞获取新的 SIM 卡,连带照片的证件或邮件确认都不需要。
此外,这两个骗子拿漏洞赚钱的方法也是别具一格,他们将被盗用的账户连上了在线赌博账号,而且还打开了支付网关。随后,两个骗子通过赌博账号取走钱财,把债务留给了被盗用户,而自己则大摇大摆去银行取了现。
这样的攻击其实没什么技术含量,因此两个骗子也很快被抓。不过,60 名受害用户可惨了,他们的账单上全是欺诈交易,而沃达丰并没有主动承担责任,电信巨头甚至宣称自家客户应该为这批欺诈交易负责,因为他们用了这些“弱智”密码,而事实上它们自己系统的安全短板才是这次事件的罪魁祸首。
虽然沃达丰将 PIN 码交给用户时它只是临时凭证,但电信巨头并未告知用户这个代码需要修改,有些用户甚至根本不知道自己还有个网络账户。
El Reg 从布拉格软件开发者 Michal ?pa?ek 那里了解到了这件事,随后便在 Twitter 上炮轰起了沃达丰。
“沃达丰称你的密码得自己负责,还说服务条款上已经详细标明。”他写道。“不过,坏人只知道手机号和密码就能拿到新 SIM 卡,这点沃达丰是不是该负责?”
随后,当地报纸也对这一事件进行了报道,实时诈骗的两个嫌疑人最终分别被判处 2 年和 3 年有期徒刑。
据悉,这些被暴力破解的账户大多 2012 年之前就创建了,过去六年里,用户在设立手机商店账户时也选择了自己的 6 位密码。不过,?pa?ek 并不认为沃达丰新系统的安全性有什么值得称赞的。?pa?ek 的朋友 Michal Illich 多年前也领到过“1234”这样的随机密码,当时他还以为这是机器生成的呢。
据悉,两个骗子还能通过沃达丰的网络主页获取受害者的生日、组织、银行账户和电话记录等。还好,他们没有滥用这些信息为受害者造成进一步伤害。
El Reg 要求沃达丰对此事作出解释并批评了它们的安全策略,电信巨头回应称:“我们很遗憾听到一些客户成为犯罪分子有针对性欺诈行为的受害者。我们已明确告知用户,他们需要用独特的强密码才能保护自己免受此类犯罪行为的侵害。沃达丰也一直在与执法部门合作,以确保将责任人绳之以法并对我们的客户进行补偿。
安全认证专家 Per Thorsheim 还告诉 El Reg,沃达丰捷克分部在安全上出问题已经不是一次两次了,它们哪怕用邮箱地址替代 PIN 码,也不至于被这种低级骗子给攻破。
“虽然用邮箱当用户名外加 8 位密码的政策下一些用户会用上‘password’这样的密码,但获取大量用户邮箱可不容易,这样就能让犯罪分子望而却步。”Per Thorsheim 说道。“这件事的疯狂之处在于,沃达丰的认证设置实在太烂,它们给了‘1234’这样的弱密码居然还有脸抱怨用户不注意安全。”
Thorsheim 还指出,哪怕它们在登陆界面用些速率限制、帐户锁定、地理围栏或基于时间的安全性设置,也能显著提升自家系统的安全性。此外,他认为捷克的信息专员办公室应该介入此事,这么差的个人数据保护确实需要风险分析和数据保护影响评估了。 
