Уязвимость сайта Apple позволяла хакерам украсть миллионы PIN-кодов

21

Критическая уязвимость в коде официального онлайн-магазина Apple создавала риск утечки нескольких десятков миллионов PIN-кодов. Об этом сообщает ресурс BuzzFeed News со ссылкой на исследование специалистов в области информационной безопасности Фобии и Николаса Сераоло.

Исследователи не стали раскрывать подробности об особенностях уязвимости, но уточнили, что ее эксплуатация позволяла хакерам получить доступ к PIN-кодам учетных записей 72 миллионов абонентов T-Mobile, не затрагивая при этом клиентов других сотовых операторов.

О каком PIN-коде речь?

В данном случае подразумевается не привычный большинству из нас PIN-код сим-карты, а секретная комбинация символов, которая используется для идентификации пользователей операторских iPhone. Для них PIN-код играет роль дополнительного средства защиты при работе с сим-картой в личном кабинете на сайте Apple.


Опасность обнародования PIN-кода состоит в том, что с его помощью мошенник сможет перепривязать номер телефона жертвы к другой сим-карте. Это создает опасность завладевания банковскими счетами и, как следствие, потери всех накоплений и исчерпания лимита по кредитной карте.

Apple со своей стороны отказалась давать какие-либо комментарии о случившемся. Единственными словами сотрудников пресс-службы компании были слова благодарности в адрес исследователей и заявление о том, что своевременная реакция позволила устранить уязвимость в кратчайшие сроки.

Обсудить эту и другие новости Apple можно в нашем Telegram-чате.

Лучший комментарий

21 комментарий Оставить свой

  1. -1

    Идолопоклонники !!! Где оправдательные комментарии…

    • 2

      [email protected], Ой, сейчас как дизлайки поставят тебе)

      • 0

        viaches, если ты бичара и сходил в туалет под дверью соседа, то оправдываться не обязательно. а если ты компания связанная с безопасностью подьзовательскмх данных, то таких нужно ставить раком на штрафы в миллиарды долларов. тогда может все начнут проверять свой код

        • 2

          edinorog, Вообще мимо. Ты бы посидел, подумал, какой вопрос задан и о чем он, прежде чем изливать желчь. Ну и по твоей логике Гугл со своим андроидом давно бы разорился

          • 0

            viaches, нет никакого вопроса. либо ты своей головой отвечаешь что мост выдержит тысячу машин в час и не рухнет, либо ты рукожоп а не инженер. тут так же. не играет роль гугл ты или нет. допустил утечку данных … нагибайся

            • 1

              edinorog, Вас наверное жена за разбитые чашки бьет)) Че такой обиженный?

              • -1

                viaches, циски надоели. они любители своими ошибками чужие сети нашибать. а как что … так спрыгивают с темы. и говорят что это всеголишь уязвимость. а платишь сотни тысяч баксов

  2. 0

    Уведут номер, доступ к банковским данным всё равно не получат… Многие банки блокируют онлайн сервисы при смене симки, даже если номер остался тот же.

    • 0

      AleksandrVt, я бы даже сказал, все, уважающие себя банки))

    • 0

      AleksandrVt, Т.е. вы если сим-карту меняете, то потом приходится в банк ехать с телефоном? Или как? Или всё-таки достаточно авторизовать новую симку по sms?

      • 0

        vitvit, позвонить в банк, сказать им необходимую инфу, типо паспортных данных, могут кодовое слово спросить… И всё.

        • 0

          AleksandrVt, я только не совсем понял, как банк узнает, что вы сим-карту сменили? Я понимаю, если номер телефона сменили, тут всё просто. Но сим-карту…

          • 0

            vitvit, у каждой симки есть уникальный идентификатор. Вроде ICCID называется. Он прям на симке написан или на карточке, из которой вы её потом выламываете… По этому id банк и определяет смену симки.

            • 0

              AleksandrVt, всё верно, только вроде у банка нет волшебных технологий, чтобы считать этот номер своим приложением. Так же, как и многую другую информацию из SIM-карты. А если рассматривать iOS, то приложения даже доступа к SMS не имеют. Так что приложения (любые) могут только смену номера увидеть.

              Что касается смены sim-карты, то во многих странах до недавнего времени это вообще можно было делать очень легко (погуглите про разновидность атаки Cellphone Hijacking). Да и сейчас этот процесс проще, чем в России, например, где формально требуется личное присутствие абонента со своим паспортом. Но это тоже обходят. Так что, к сожалению, если есть, что действительно защищать, то лучше используйте отдельный номер телефона для всяких банков и т.п. 🙂

  3. 1

    Какие пин-коды? Отключённые у 99,9999%? Кто-то его ещё пользует? Проверка банками смс-кодами через симки — лишь одна из степеней защиты от несанкционированного входа и далеко не самая главная))

    • 4

      deviser, Мне кажется, что вы можете не знать всех тонкостей банковского рынка конкретно США и технических нюансов в частности (а также уровень зрелости ИТ)

      • 2

        elti2000, Странно наблюдать такой глубокий комментарий на данном ресурсе. Тут обычно свой UX выдают за единственный общепринятый. Вы откуда такой? 🙂

        • 0

          vitvit, Ну ладно ладно. Товарищ не дочитал, увидел «пин-код» и подумал о нашем распространённым/устарелом значении

  4. 2

    Опять школьники балуются? 😁

  5. 0

    Вроде написано — создавала РИСК утечки — тоесть никакого слива небыло.

Авторизуйтесь Чтобы оставить комментарий