הסיפור הזה עודכן בשעה 13:07 בצהריים.

אם אתה אVerizonלקוח, עליך לשנות את ה-PIN שלך - מספר הזיהוי האישי שבו אתה משתמש בעת יצירת קשר עם שירות הלקוחות - ברגע זה.

חברת אבטחה חשפה ביום רביעי שמידע על מיליוני חשבונות Verizon נחשף בשרת לא מאובטח. המידע כלל את שם המנוי, מספר הטלפון הסלולרי וקוד ה-PIN של החשבון. המרכיב האחרון הוא ללא ספק המרכיב המכריע: עם ה-PIN, תוקף יכול לרמות נציג שירות לקוחות לתת לו גישה לחשבון של מנוי.

ראה גם:

עם גישה חופשית לחשבון, תוקף יכול לבצע כל שינוי בשירות שהוא רוצה, תיאורטית להוסיף שורות או תכונות ספציפיות. התמקדות בחשבונות אלחוטיים היא גם דרך מרכזית של פושעי סייבר לעקוף אימות דו-גורמי (2fa) בשירותי צד שלישי, מכיוון שמשתמשים רבים בוחרים לקבל קודי אימות באמצעות הודעות SMS בגלל הנוחות שלהם.

דיווחים ראשוניים על ההפרה הצביעו על חשיפה של 14 מיליון חשבונות, אך ורייזון הוציאה מאוחר יותרהַצהָרָהזה אמר שהמספר היה למעשה 6 מיליון. חברת האבטחה, UpGuard, סיפרה ל-Verizon על הנתונים שנחשפו ב-13 ביוני, ו- Verizon טיפלה בבעיה עד ה-22 ביוני.CNN דיווח. UpGuard היא אותה חברה שגילתהנתוני רישום בוחרים לא מאובטחיםבשרתים של קבלן RNC ביוני.

רישומי הלקוחות החשופים היו מיומני שיחות שנוצרים כאשר משתמש Verizon יוצר קשר עם שירות הלקוחות. הרישומים חוזרים שישה חודשים אחורה, כך שרק לקוחות שהתקשרו לשירות לקוחות נפגעו בפרטי החשבון שלהם. חלק ממספרי ה-PIN הוסתרו אך אחרים נחשפו. Verizon אומרת שהנתונים שנחשפו היו עבור "פורטל קווי", כלומר החשבונות היו עבור שירותי קווים למגורים ולעסקים (כגון FiOS) ולא ל-Verizon Wireless. מספרי הסלולר היו חלק מהנתונים למטרות יצירת קשר.

עד כה Verizon לא סיפקה דרך ללקוחות לבדוק אם הנתונים שלהם נחשפו או לא, אז הדבר הבטוח ביותר לעשות כרגע הוא לשנות את ה-PIN שלך.

חברה ישראלית, נייס סיסטמס, הגדירה בטעות את הנתונים, שנשמרו בשרת אמזון S3, כ"ציבוריים".ZDNet דיווחכאשר זה שבר את הסיפור. ספקים אלחוטיים כמו Verizon מתקשרים לעתים קרובות עם חברות אחרות לנהל את שיחות שירות הלקוחות שלהם ואת הנתונים שהם מייצרים.

תִקוּן:הקטע הזה עודכן כדי לשקף את המידע בהצהרה הפומבית של Verizon על ההפרה, כולל מספר החשבונות (6 מיליון), אופי החשבונות שנחשפו ורמת הגישה שה-PIN מעניק.