雖然會暴露年齡，但在諾基亞還能拿下銷量半壁江山的時代，確實(shí)會有很多小伙伴“手賤”玩壞 PIN 碼（SIM 卡個人識別密碼），導(dǎo)致自己的小翻蓋、小滑蓋或小直板被鎖，然后就只能跑營業(yè)廳求助運(yùn)營商了。

不過，這個已經(jīng)銷聲匿跡許久的名字最近又上了回頭條，兩名騙子居然利用沃達(dá)豐（Vodafone）孱弱的 PIN 碼從捷克用戶手上騙了 2.6 萬美元。

沃達(dá)豐會為自家用戶預(yù)設(shè) 4-6 位的數(shù)字密碼，但它們警惕性太差了，預(yù)設(shè)的密碼強(qiáng)度太低。結(jié)果，有兩個不知天高地厚的騙子在嘗試了幾次 1234 這樣的弱智密碼后，居然成功暴力破解了用戶賬戶，他們可是半點(diǎn)技術(shù)都不會。

這還沒完，走了狗屎運(yùn)的他們還發(fā)現(xiàn)，只要自己知道一個電話號碼并試出該賬戶的 PIN 碼，就可以通過這個漏洞獲取新的 SIM 卡，連帶照片的證件或郵件確認(rèn)都不需要。

此外，這兩個騙子拿漏洞賺錢的方法也是別具一格，他們將被盜用的賬戶連上了在線賭博賬號，而且還打開了支付網(wǎng)關(guān)。隨后，兩個騙子通過賭博賬號取走錢財(cái)，把債務(wù)留給了被盜用戶，而自己則大搖大擺去銀行取了現(xiàn)。

這樣的攻擊其實(shí)沒什么技術(shù)含量，因此兩個騙子也很快被抓。不過，60 名受害用戶可慘了，他們的賬單上全是欺詐交易，而沃達(dá)豐并沒有主動承擔(dān)責(zé)任，電信巨頭甚至宣稱自家客戶應(yīng)該為這批欺詐交易負(fù)責(zé)，因?yàn)樗麄冇昧诉@些“弱智”密碼，而事實(shí)上它們自己系統(tǒng)的安全短板才是這次事件的罪魁禍?zhǔn)住?/p>

雖然沃達(dá)豐將 PIN 碼交給用戶時它只是臨時憑證，但電信巨頭并未告知用戶這個代碼需要修改，有些用戶甚至根本不知道自己還有個網(wǎng)絡(luò)賬戶。

El Reg 從布拉格軟件開發(fā)者 Michal ?pa?ek 那里了解到了這件事，隨后便在 Twitter 上炮轟起了沃達(dá)豐。

“沃達(dá)豐稱你的密碼得自己負(fù)責(zé)，還說服務(wù)條款上已經(jīng)詳細(xì)標(biāo)明。”他寫道?！安贿^，壞人只知道手機(jī)號和密碼就能拿到新 SIM 卡，這點(diǎn)沃達(dá)豐是不是該負(fù)責(zé)？”

隨后，當(dāng)?shù)貓?bào)紙也對這一事件進(jìn)行了報(bào)道，實(shí)時詐騙的兩個嫌疑人最終分別被判處 2 年和 3 年有期徒刑。

據(jù)悉，這些被暴力破解的賬戶大多 2012 年之前就創(chuàng)建了，過去六年里，用戶在設(shè)立手機(jī)商店賬戶時也選擇了自己的 6 位密碼。不過，?pa?ek 并不認(rèn)為沃達(dá)豐新系統(tǒng)的安全性有什么值得稱贊的。?pa?ek 的朋友 Michal Illich 多年前也領(lǐng)到過“1234”這樣的隨機(jī)密碼，當(dāng)時他還以為這是機(jī)器生成的呢。

據(jù)悉，兩個騙子還能通過沃達(dá)豐的網(wǎng)絡(luò)主頁獲取受害者的生日、組織、銀行賬戶和電話記錄等。還好，他們沒有濫用這些信息為受害者造成進(jìn)一步傷害。

El Reg 要求沃達(dá)豐對此事作出解釋并批評了它們的安全策略，電信巨頭回應(yīng)稱：“我們很遺憾聽到一些客戶成為犯罪分子有針對性欺詐行為的受害者。我們已明確告知用戶，他們需要用獨(dú)特的強(qiáng)密碼才能保護(hù)自己免受此類犯罪行為的侵害。沃達(dá)豐也一直在與執(zhí)法部門合作，以確保將責(zé)任人繩之以法并對我們的客戶進(jìn)行補(bǔ)償。

安全認(rèn)證專家 Per Thorsheim 還告訴 El Reg，沃達(dá)豐捷克分部在安全上出問題已經(jīng)不是一次兩次了，它們哪怕用郵箱地址替代 PIN 碼，也不至于被這種低級騙子給攻破。

“雖然用郵箱當(dāng)用戶名外加 8 位密碼的政策下一些用戶會用上‘password’這樣的密碼，但獲取大量用戶郵箱可不容易，這樣就能讓犯罪分子望而卻步?！盤er Thorsheim 說道?！斑@件事的瘋狂之處在于，沃達(dá)豐的認(rèn)證設(shè)置實(shí)在太爛，它們給了‘1234’這樣的弱密碼居然還有臉抱怨用戶不注意安全?！?/p>

Thorsheim 還指出，哪怕它們在登陸界面用些速率限制、帳戶鎖定、地理圍欄或基于時間的安全性設(shè)置，也能顯著提升自家系統(tǒng)的安全性。此外，他認(rèn)為捷克的信息專員辦公室應(yīng)該介入此事，這么差的個人數(shù)據(jù)保護(hù)確實(shí)需要風(fēng)險(xiǎn)分析和數(shù)據(jù)保護(hù)影響評估了。

雷鋒網(wǎng)Via. The Register

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。