(图片来源:ccn)
就在上周日,华盛顿一位交易员将T-Mobile诉至法庭,指控后者未能保护其电话号码,导致价值数千美元的加密货币被盗走。
去年11月,Carlos Tapang的电话号码被恶意黑客盗用。黑客将他的号码转移到受其控制的一个美国电话电报(AT&T)账号下面,重设了账户密码(最可能是通过SMS双因子验证码实现的)。
来自Law360的一份报告显示,Tapang不满T-Mobile未能提供足够的安全措施来保护其账号,让Tapang的号码被窃取,进而进入了相关账号、窃取了加密货币。
报告称,Tapang的交易所账号发生了未经授权的转账,他本人无法使用手机,不得不花费大量时间、精力和费用来解决这场“经济危机”,这件事也给他带来了巨大的精神压力。
据称,黑客盗走了Tapang账号内的OmiseGo、Bitconnect币,短期内可能无法找回。
尽管T-Mobile的促销资料宣称其安全措施非常到位,可以有效阻止这种攻击,但最近这个案子不可谓不打脸。
T-Mobile从未按要求核实Tapang的账号,使得黑客多次成功呼叫到服务中心,找到客服来完成转账。在被控制后,Tapang无法连接到其电话号码,只得想尽一切办法来挽回损失。
(图片来源于网络)
这种事2016年就有了,巧合的是同样是T-Mobile的客户被篡改了号码、窃取了加密货币。黑客把受害者的号码置于他们的控制之下,然后重设密码、操纵交易所账户,偷走了资产。一旦黑客掌握了电话号码,重设关键账户的密码简直易如反掌。
这一流程需要致电移动运营商,并申请将号码绑定到黑客控制的设备上。黑客将冒充受害者,用他们从其他渠道搞到的答案来回答安全验证问题。
交易所阻止这种黑客、进一步保护顾客的其中一个主要方式是停用通过SMS获取双因子验证码,通过专业验证应用来远程操作。尽管不能算是“刀枪不入”,但可能有能力缓解这种事情未来发生的频率。
到头来,用户或许能够掌控自己的设备,但号码仍然掌握在运营商手中。
文章来源:ccn
原文作者:Gregory Rocco
编译:Flora
领取专属 10元无门槛券
私享最新 技术干货