蘋果又出事，在線商店漏洞導致逾7000萬用戶賬戶泄露

前幾日團隊的編輯們發布了一篇《高中生入侵蘋果伺服器，一切都是因為愛？》的文章引得不少朋友前來調侃，而近日蘋果再次中槍，而且還更加嚴重。

據美媒報道，蘋果在線商城和手機保險公司Asurion網站出現最新安全漏洞，T-Mobile和AT&T客戶的帳戶PIN碼（保護移動帳戶免受黑客攻擊的密碼）已被安全研究人員Phobia和Nicholas「Convict」Ceraolo 發現的兩個不同的安全漏洞所暴露。這其中主要集中在T-Mobile和AT&T客戶。

BuzzFeed News表示，Apple的安全漏洞暴露了「超過7200萬」T-Mobile用戶密碼。同時，Asurion存在一個單獨的漏洞，會影響AT＆T用戶的賬戶安全。

蘋果公司的在線商店會將任何T-Mobile客戶的部分社會安全號碼或帳號PIN碼暴露給黑客。在購物者通過T-Mobile發起iPhone購買並選擇每月支付分期付款後，Apple的網站會向購物者提供一份認證表格，要求提供他們的T-Mobile手機號碼，帳號PIN碼或其社會安全號碼的後四位數字。安全研究員發現此頁面允許在帳戶PIN和社會安全號碼欄位中進行無限次輸入嘗試，允許它被強制使用。該缺陷似乎隻影響T-Mobile賬戶。而在其他運營商則會在失敗指定次數後鎖定賬戶一段時間以避免黑客進行暴力破解。

根據Ceraolo的說法，該漏洞可能是由於在將T-Mobile的帳戶驗證API連接到Apple的網站時出現了工程錯誤。API或應用程序編程介面允許第三方訪問客戶數據並驗證安全措施，如PIN。T-Mobile拒絕對此特定漏洞發表評論，但確實指出其網站上最近的一篇文章詳細說明了一起單獨的事件，該事件涉及未經授權訪問客戶的個人信息，包括帳號，電子郵件地址，電話號碼，姓名和賬單郵政編碼。

在另一個漏洞中，通過Asurion購買電話保險的AT&T客戶的帳戶PIN碼容易受到攻擊。無論是Asurion還是AT&T都沒有明確指出有多少客戶受到影響。擁有超過3億客戶的Asurion與幾乎所有主要的運營商合作。

移動帳戶的PIN碼是特別敏感的信息。如果黑客可以訪問它，他們可以輕鬆地佔用用戶電話號碼，並使用它來欺騙SMS的身份驗證（SMS可以在用戶登錄銀行，電子郵件提供商或社交媒體帳戶時驗證用戶身份）

不過好在截至目前蘋果已修復該漏洞，但根據近幾個月多個涉及到蘋果公司的有關事件，也不難發現蘋果今年的確不算太平。

關注我們獲取更多精彩內容

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！