Un fallo en la tienda online de Apple expone el PIN de miles de clientes de T-mobile

El pasado mes de agosto se detectó un importante fallo en la seguridad de la tienda online de Apple, como consecuencia de este fallo han quedado expuestos los ‘pines’ de más de 72 millones de clientes de T-Mobile (operador de telefonía móvil de origen alemán). La vulnerabilidad fue descubierta por dos investigadores, conocidos como Phobia y Nicholas Cearolo, los cuales también descubrieron un fallo similar en la página web de una compañía aseguradora de teléfonos llamada Asurion durante los anteriores meses.

Tanto Apple como Asurion ya han arreglado sus páginas solucionando el problema de exposición de los pines de sus usuarios, como es habitual Apple no ha querido dar detalles acerca del fallo, sin embargo ha agradecido su trabajo a los investigadores que encontraron la brecha en su seguridad. Los pines o contraseñas son números que se utilizan como una medida de seguridad adicional y suelen ser la última línea de defensa en las cuentas móviles. Hoy en día estos pines son más importantes que nunca, el SIM hacking, que utiliza ingeniería social para transferir el número de teléfono de una víctima a otra tarjeta SIM, ha incrementado exponencialmente durante los últimos años.

Figura 1: Página que solicita el PIN el número de teléfono

Para acceder a los pines de T-Mobile desde la web de Apple los investigadores realizaron un ataque de fuerza bruta en el que un software era capaz de dar con el pin correcto tras probar con numerosas combinaciones posibles. Según BuzzFeed, al iniciar la compra de un iPhone de T-mobile a través de la tienda online y seleccionar la opción de pago mensual con la factura de teléfono, los usuarios son redirigidos a un formulario de autenticación en el que se les solicita un número de teléfono y un pin de 4 dígitos, esta página permite introducir el pin un número ilimitado de veces haciendo que sea posible realizar un ataque de fuerza bruta. Por el momento esta vulnerabilidad parece afectar únicamente a los usuarios de T-mobile, ya que con el resto de compañías el formulario solo te permite introducir el pin incorrecto un determinado número de veces.