沉寂已久的 PIN 碼又惹事：沃達豐居然栽在了「1234」上

雖然會暴露年齡，但在諾基亞還能拿下銷量半壁江山的時代，確實會有很多小夥伴「手賤」玩壞 PIN 碼（SIM 卡個人識別密碼），導致自己的小翻蓋、小滑蓋或小直板被鎖，然後就只能跑營業廳求助運營商了。

不過，這個已經銷聲匿跡許久的名字最近又上了回頭條，兩名騙子居然利用沃達豐（Vodafone）孱弱的 PIN 碼從捷克用戶手上騙了 2.6 萬美元。

沃達豐會為自家用戶預設 4-6 位的數字密碼，但它們警惕性太差了，預設的密碼強度太低。結果，有兩個不知天高地厚的騙子在嘗試了幾次 1234 這樣的弱智密碼後，居然成功暴力破解了用戶賬戶，他們可是半點技術都不會。

這還沒完，走了狗屎運的他們還發現，只要自己知道一個電話號碼並試出該賬戶的 PIN 碼，就可以通過這個漏洞獲取新的 SIM 卡，連帶照片的證件或郵件確認都不需要。

此外，這兩個騙子拿漏洞賺錢的方法也是別具一格，他們將被盜用的賬戶連上了在線賭博賬號，而且還打開了支付網關。隨後，兩個騙子通過賭博賬號取走錢財，把債務留給了被盜用戶，而自己則大搖大擺去銀行取了現。

這樣的攻擊其實沒什麼技術含量，因此兩個騙子也很快被抓。不過，60 名受害用戶可慘了，他們的賬單上全是欺詐交易，而沃達豐並沒有主動承擔責任，電信巨頭甚至宣稱自家客戶應該為這批欺詐交易負責，因為他們用了這些「弱智」密碼，而事實上它們自己系統的安全短板才是這次事件的罪魁禍首。

雖然沃達豐將 PIN 碼交給用戶時它只是臨時憑證，但電信巨頭並未告知用戶這個代碼需要修改，有些用戶甚至根本不知道自己還有個網路賬戶。

El Reg 從布拉格軟體開發者 Michal ?pa?ek 那裡了解到了這件事，隨後便在 Twitter 上炮轟起了沃達豐。

「沃達豐稱你的密碼得自己負責，還說服務條款上已經詳細標明。」他寫道。「不過，壞人只知道手機號和密碼就能拿到新 SIM 卡，這點沃達豐是不是該負責？」

隨後，當地報紙也對這一事件進行了報道，實時詐騙的兩個嫌疑人最終分別被判處 2 年和 3 年有期徒刑。

據悉，這些被暴力破解的賬戶大多 2012 年之前就創建了，過去六年里，用戶在設立手機商店賬戶時也選擇了自己的 6 位密碼。不過，?pa?ek 並不認為沃達豐新系統的安全性有什麼值得稱讚的。?pa?ek 的朋友 Michal Illich 多年前也領到過「1234」這樣的隨機密碼，當時他還以為這是機器生成的呢。

據悉，兩個騙子還能通過沃達豐的網路主頁獲取受害者的生日、組織、銀行賬戶和電話記錄等。還好，他們沒有濫用這些信息為受害者造成進一步傷害。

El Reg 要求沃達豐對此事作出解釋並批評了它們的安全策略，電信巨頭回應稱：「我們很遺憾聽到一些客戶成為犯罪分子有針對性欺詐行為的受害者。我們已明確告知用戶，他們需要用獨特的強密碼才能保護自己免受此類犯罪行為的侵害。沃達豐也一直在與執法部門合作，以確保將責任人繩之以法並對我們的客戶進行補償。

安全認證專家 Per Thorsheim 還告訴 El Reg，沃達豐捷克分部在安全上出問題已經不是一次兩次了，它們哪怕用郵箱地址替代 PIN 碼，也不至於被這種低級騙子給攻破。

「雖然用郵箱當用戶名外加 8 位密碼的政策下一些用戶會用上『password』這樣的密碼，但獲取大量用戶郵箱可不容易，這樣就能讓犯罪分子望而卻步。」Per Thorsheim 說道。「這件事的瘋狂之處在於，沃達豐的認證設置實在太爛，它們給了『1234』這樣的弱密碼居然還有臉抱怨用戶不注意安全。」

Thorsheim 還指出，哪怕它們在登陸界面用些速率限制、帳戶鎖定、地理圍欄或基於時間的安全性設置，也能顯著提升自家系統的安全性。此外，他認為捷克的信息專員辦公室應該介入此事，這麼差的個人數據保護確實需要風險分析和數據保護影響評估了。

雷鋒網宅客頻道（微信公眾號：letshome），歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！