Six millions de clients américains de Virgin Mobile sont sujets à un hack de leur compte dû à une énorme faille de sécurité. Leurs informations personnelles sont accessibles et il est même possible de prendre le contrôle de leur compte.
Virgin Mobile force ses clients à utiliser comme identifiant pour accéder au site internet de l’opérateur leur numéro de téléphone avec un mot de passe à 6 chiffres.
Or un mot de passe à chiffres implique qu’il existe seulement un million de mots de passe possibles à choisir par le client. Ainsi un pirate peut hacker très facilement un compte client lambda en utilisant une attaque par force brute.
Kevin Burke, le client Virgin Mobile qui a trouvé cette faille de sécurité a attaqué son propre compte par force brute et a réussi sans aucun souci.
Il a ensuite directement contacté Virgin Mobile USA qui n’a malheureusement pas corrigé cette vulnérabilité. Kevin a donc décidé de publier sur son propre blog cette faille afin de faire réagir Virgin Mobile.
Il précise qu’un hacker qui trouvait le mot de passe d’un compte donné pouvait :
- lire le journal des appels et SMS,
- changer le téléphone associé au compte et donc recevoir les appels/SMS du compte,
- acheter un nouveau téléphone avec la carte bancaire associée au compte, jusqu’à 600$ de débiter,
- changer le mot de passe du compt,
- changer l’adresse mail du compt.
Hier soir Virgin a apporté quelques modifications pour corriger la faille. Mais, d’après Kevin Burke, il est toujours possible de hacker des comptes bien que son script d’attaque par force brute ne soit plus aussi efficace.