金融界美股讯 据美媒BuzzFeed News当地时间24日报道，旨在保护T-Mobile和AT&T客户的移动帐户PIN码有两个安全漏洞暴露。在BuzzFeed News调查之后，两家公司修复了这些漏洞。

　　T-Mobile和AT&T客户的帐户PIN码（旨在保护移动帐户免受黑客攻击的密码）已被安全研究人员Phobia和Nicholas“Convict”Ceraolo 发现的两个不同的安全漏洞所暴露。

　　而苹果公司的在线商店则包含这些会无意中暴露超过7700万 T-Mobile客户的PIN码的安全漏洞。手机保险公司Asurion的网站有一个单独的漏洞，暴露了Asurion的AT&T客户的密码。

　　在BuzzFeed News公开安全研究人员的调查结果之后，Apple和Asurion修复了这些漏洞。苹果拒绝提供有关该记录的进一步评论，只表示该公司非常感谢发现该漏洞的研究人员。Asurion发言人Nicole Miller说：“Asurion非常重视客户的安全和隐私，因此我们有一个持续的分层安全计划来防止安全问题。我们正在调查研究人员（对于安全漏洞）的担忧，但已立即采取措施解决这些问题，以确保客户的账户安全。“

　　移动帐户的PIN码是特别敏感的信息。如果黑客可以访问它，他们可以轻松地占用用户电话号码，并使用它来欺骗SMS的身份验证（SMS可以在用户登录银行，电子邮件提供商或社交媒体帐户时验证用户身份）

　　黑客将受害者的电话和短信转发到另一部手机的SIM卡劫持现象已经变得非常普遍，以至于T-Mobile和AT&T在今年早些时候发出警报，敦促客户创建新的PIN码来保护他们的账户。（对于大多数移动服务提供商而言，客户的默认PIN码与其社会安全号码的后四位数字相同。）理论上，更改帐户所需的自定义PIN码是一个额外的安全层，可以抵御黑客的攻击。

　　但是，Apple和Asurion网站上发现的漏洞如果被利用，将会导致这些PIN无用。他们允许坏人使用广泛可用的黑客软件，这种软件可以自动化所谓的暴力攻击，即反复尝试不同的数字组合，直到猜到正确的序列。

　　苹果公司的在线商店会将任何T-Mobile客户的部分社会安全号码或帐号PIN码暴露给黑客。在购物者通过T-Mobile发起iPhone购买并选择每月支付分期付款后，Apple的网站会向购物者提供一份认证表格，要求提供他们的T-Mobile手机号码，帐号PIN码或其社会安全号码的后四位数字。

　　此页面允许在帐户PIN和社会安全号码字段中进行无限次输入尝试，允许它被强制使用。该缺陷似乎只影响T-Mobile账户。在其他运营商（Verizon，Sprint和AT&T）的同一帐户验证页面上，速率限制会在5到10次不正确的提交后锁定对表单的访问权限，持续60分钟，从而阻止黑客暴力破解它。

　　根据Ceraolo的说法，该漏洞可能是由于在将T-Mobile的帐户验证API连接到Apple的网站时出现了工程错误。API或应用程序编程接口允许第三方访问客户数据并验证安全措施，如PIN。T-Mobile拒绝对此特定漏洞发表评论，但确实指出其网站上最近的一篇文章详细说明了一起单独的事件，该事件涉及未经授权访问客户的个人信息，包括帐号，电子邮件地址，电话号码，姓名和账单邮政编码。

　　在另一个漏洞中，通过Asurion购买电话保险的AT&T客户的帐户PIN码容易受到攻击。无论是Asurion还是AT&T都没有明确指出有多少客户受到影响。拥有超过3亿客户的Asurion与几乎所有主要的运营商合作，为丢失，损坏或被盗的手机提供保险。

　　在客户可以提交索赔的Asurion网页上，了解AT&T客户无线号码的黑客可以访问另一个要求帐户持有人的四到八位密码的表格。这种形式对尝试没有限制，因此它是强力的。根据Ceraolo的说法，大多数个人识别码都是四位数，并且“可以在合理的时间范围内强制执行。”