酒店女继承人帕丽斯·希尔顿的手机t - mobile客户帐户和其他可能的牺牲品黑客利用了一个大洞在公司的网站窃取信息,根据安全专家和那些熟悉的事件。
一个缺陷在网站功能重置t - mobile账户密码被认为扮演了一个角色在黑客希尔顿的t - mobile的伙伴账户,导致她的星光熠熠的通讯录,照片,电子邮件和语音邮件被发布为公共消费在互联网上。密码重置洞只是一个数百,甚至数千的类似缺陷在移动提供者的Web页面可以提供方便地访问恶意黑客,据一位安全专家的分析。
发言人t - mobile USA, t - mobile国际公司的一个部门& Co kg。拒绝评论具体密码重置利用或安全公司的网站上尽管一再请求。在一封电子邮件声明中归因于苏斯文森,t - mobile USA的首席运营官,该公司表示,它关心保护客户的安全和隐私,,公司是“积极调查非法传播的信息在互联网上t - mobile客户的个人资料。”
谣言是什么黑客负责对希尔顿的伙伴一直以来丰富她的账户发布公共审查在世界各地的网站2月20日。黑客的主要理论来源表明,它可能与2003年的黑客,尼古拉斯·雅各布森,这位22岁的认罪影响账户的400年2月15日t - mobile客户,或的结果很容易猜到的密码在希尔顿的帐户。
但黑客在希尔顿的帐户和其他t - mobile账户持有人可能影响公司网站的技术分析基于信息提交的证词雅各布森的情况下由美国特勤处特工马修费。
在2月17日博客中,杰克Koziol,高级讲师信息安全研究所证词中,使用信息和t - mobile的网站上公开信息,讨论所使用的策略,雅各布森妥协t - mobile的服务器2003年,包括黑客希尔顿的帐户。
Koziol推测,雅各布森使用SQL注入攻击妥协t - mobile的服务器和指出,他的帖子,有“上百注入漏洞散落在t - mobile的网站,“根据他的博客,“道德黑客和计算机取证。”
在SQL注入攻击中,攻击者使用一个SQL数据库查询发送,或“注入”,意外的命令到一个SQL数据库,允许他们来操纵数据库的内容。
2月19日清晨,Koziol收到来自读者的电子邮件祝贺他,他的博客。电子邮件包含一个t - mobile的利用网站漏洞,允许任何人获得t - mobile账户从T-mobile.com Web站点,只要他们知道帐户持有人的t - mobile的电话号码。在邮件中,利用归因于一个黑客组织被称为“DFNCTSC团队。”
“我知道你说你不能利用的东西,因为你都是白色的帽子,在行业工作,但我没有法定年龄去监狱,所以我可以,”消息读取,在某种程度上。
希尔顿的通讯录第一个2月20日出现在互联网上。职位的信息,伴随着一个消息,声称DFNCTSC的黑客。
利用电子邮件中描述Koziol利用密码重置功能缺陷的t - mobile的网站。游客有一个有效的t - mobile的电话号码可以使用特性来获得一个独特的令牌来重置密码。设计缺陷的重置功能允许互联网用户知道密码重置页面的URL绕过用户身份验证页面,改变一个帐户的密码,而无需提供证明他们账户的所有者的信息,根据Koziol。
“这是一个会话管理问题。(t - mobile)未能正确地跟踪用户在哪里,”Koziol告诉IDG新闻服务。“这不是惊天动地的漏洞,找出计算机科学博士学位。这是几个好奇的孩子能做的。”
Koziol强烈鼓励电子邮件的作者使用了网名“luckstr4w,“不要试图攻击t - mobile的网站援引尼古拉斯·雅各布森的案例作为一个例子,这可能导致严重的后果。
IDG新闻服务机构通过电子邮件联系,luckstr4w功劳发现了漏洞和写作阅读后利用Koziol的博客。希尔顿黑客Luckstr4w否认责任,说一个熟人,谁知道希尔顿酒店的电话号码,用它来改变她的账户密码和访问她的账户。
然而,在相同的电子邮件消息,luckstr4w还声称已经改变了希尔顿的帐户密码处理,“luckstr4w”,当他和他的熟人控制了她的帐户。
Luckstr4w坚持交流仅仅通过一个匿名电子邮件账户,理由是担心通话或其他类型的通信将被监控。
然而,利用luckstr4w写作需要信贷似乎已经出现了。一模一样的版本中包含一个ZIP文件名为“tMobile利用工具”在10月份发布在illmob.org网站上,在一段留给“零天,”或未知的攻击,据Illmob成员使用网名“Pingywon。”
Illmob.org网站是第一个显示希尔顿通讯录信息,尽管该集团否认参与袭击的黑客或任何知识的通讯录被偷了,Pingywon说,他形容自己是一个新闻海报为Illmob.org,但不公布希尔顿地址簿的人。
在黑客社区的消息人士表示,luckstr4w和DFNCTSC是未知的。然而,luckstr4w是否密码重置的作者利用,没洞的利用,如果修改由t - mobile——足够大,即使没有经验的黑客,或者“脚本小子”,可以使用它,只要他们知道在哪里看,专家同意。
希尔顿酒店的电话号码,这是需要进行攻击,也被广为流传在电话窃听(或电话线路)圈在攻击之前,根据lucky225,自称电话飞客,或者黑客,他拒绝使用他的真实姓名。
电话phreakers利用宽松的t - mobile的语音邮件系统和安全缺陷来电显示技术来细读希尔顿的语音信箱和她的妹妹,尼基和其他名人。希尔顿姐妹的t - mobile手机号码被广泛流行在多用户共享党派会议的地方电话线路社区,他说。
希尔顿的唾手可得的数量和利用可以用,,给互联网用户访问她的t - mobile账户意味着黑客的潜在的犯罪嫌疑人名单很长。
然而,如果luckstr4w t - mobile黑客的账户是正确的,它怀疑其他希尔顿的伙伴是如何泄露的主要理论。观察家们认为她的通讯录被雅各布森,在一年多以前和最近才浮出水面,或者继承人有很容易猜到的密码。
不管谁负责攻击,更大的问题是与t - mobile及其面向公众网站,专家同意。
公司的网站是一个纠结的成百上千的大型和小型安全漏洞,甚至出现在常规扫描公司的网站使用任何漏洞扫描工具,Koziol说。
他表示震惊,该公司显然固定孔雅各布森在2003年使用,不做一个更大的安全审查他们的网站,就会出现其他问题。
Koziol说t - mobile的网站面临的问题是常见的公司尽快开放他们的公司网络互联网通过基于Web的应用程序,但他补充称,t - mobile的极端。
“他们没有做网络安全101。我看到许多错误,一遍又一遍。他们大多注入漏洞——人们能够插入(恶意)代码,他们不应该,”他说。
t - mobile的黑客网站公司可能是一个不可避免的后果,包括移动电话提供商,添加新的功能,把更多的力量放在顾客的手中,贾斯汀宾厄姆说Intrusic Inc .首席技术官
“这(网站)代码可能有也可能没有被正确了。这不是技术上复杂的攻击,但它具有深远的影响,”他说。
希尔顿的帐户是广为人知的,但可能不是第一个这样的妥协的t - mobile的客户账户,要么,宾汉说。
“这是远远超过我们听到发生。如果我的账户被黑客攻击,没有人会把我的信息在网上,因为“谁在乎呢?’”他说。“这突显了t - mobile有巨大的网络和服务是一个巨大的客户,和他们的网络是敞开的,可以完全破解,”宾汉说。