アップルのオンラインストアのセキュリティ上の脆弱性問題により、T-Mobileの7,200万人以上の顧客の口座暗証番号が流出した可能性があるとBuzzFeed Newsは報告している。
この脆弱性はセキュリティ研究者のPhobiaとNicholas Ceraolo氏によって発見されました。彼らはは電話保険会社AsurionのWebサイトでAT&TアカウントPINが流出した問題と同様の脆弱性をアップルのオンラインストアで発見したといいます。
Apple Online Storeのセキュリティ問題によりT-Mobileユーザーの暗証番号が流出?
AppleとAsurionはともに、BuzzFeed Newsからの報告を受け、暗証番号に関するウェブサイトの脆弱性を修正したとコメントしています。 Appleは状況についてさらにコメントしないことを決めているといいます。
暗証番号、またはパスコードは、米国内の多くの通信事業者がアカウントの追加セキュリティ認証に使用している番号です。キャリアのWebサイトとサポートサイトは、アカウントを変更する前に確認のために暗証番号を要求する仕様になっており、モバイルデバイスの暗証番号は一般的にはセルラーアカウントの最終防衛線です。
ソーシャルエンジニアリングを利用し、新しいSIMに転送を可能にするSIMハッキングは、電話番号に関連付けられたアカウント数(銀行、電子メール、ソーシャルメディアなど)を乗っ取る手段として横行してきています。 暗証番号は、SIMハッキングに対する防御メカニズムとして使用されてきましたが、今回の問題により、暗証番号も危険な可能性があります。
今回の問題では、ハッカーは、AppleウェブサイトのT-Mobile 暗証番号を取得するため、ソフトウェアを使用して複数の異なる数値の組み合わせを入力し、適切なものを推測するブルートフォース攻撃を行うことが可能でした。
BuzzFeed Newsが説明するように、AppleのオンラインストアでT-Mobile iPhoneを購入し、T-Mobileを通じて毎月の支払いオプションを選択した後、AppleのサイトはユーザーにT-Mobileの番号とアカウントの暗証番号または社会保障番号最後の4桁で認証出来るページが出るようになっていました。
このページでは、暗証番号フィールドに無限の入力を試みることができ、ハッカーがT-Mobile電話番号に関連付けられた暗証番号を簡単に推測できるようになっていました。
アップルのサイトで、他の通信事業者の場合、同じ認証ページに5〜10回間違った入力があった場合、フォームへのアクセスを60分間制限するレート制限が使用されているため、セキュリティ脆弱性はT-Mobileアカウントに限定されているようです。
Ceraolo氏によると、この脆弱性は、T-Mobileのアカウント検証APIをAppleのWebサイトに接続する際の誤りが原因と考えられています。