公司被黑数据泄露年年有也不稀奇了,但应对得像Visible那么奇葩的,那可真是少见了。

 

此次被黑事件,最早是在10月9日由用户发现。作案手法是:用户的密码/邮箱/地址全数被改,之后黑客使用用户账号上保留的支付信息在Visible上下单了最新的iPhone 13 Pro Max。起初以为个案,但随后越来越多用户发现自己被黑,作案手法如出一辙。

 

作为电信企业,Visible面对如此重大事故的反应速度慢的吓人。在被黑事件开始在社交媒体上发酵后,很多人发现自己的密码无法被修改(疑似系统瘫痪)。于此同时Visible无任何公告也无任何作为,依旧放任iPhone订购,大量的iPhone被发往了底特律/芝加哥/纽约的一些臭名昭著的街区。客服系统爆满无法接入,少数接入进去的客户,因为客服无权,什么都做不了(甚至无法找回账户)

 

在迟迟四天后,Visible发布了如下公告:

Visible公告 来自reddit截图
Visible公告(来自reddit截图)

简单来说,Visible将此次事件归咎于一种很常见的手法——“撞库”。也就是用其他来源泄露的用户名密码数据库来暴力穷举。

 

但事件并没有就此结束….

 

公告发布后,密码修改大致恢复(虽然还有用户无法改)。但依旧不断有用户报告自己的账号在公告发布之后被黑,作案手法完全相同。

在改成了随机密码以后被黑

被黑账户找回以后再次被黑

如此这些报告,不得不让人怀疑Visible声称所谓“撞库”的真实性

 

建议

Visible用户请立刻将密码修改成随机密码(不管有没有用),并且将支付方式更换成虚拟卡(推荐privacy.com)设置好限额以避免不必要的麻烦和损失。另外注意观察邮件和短信,已经有一些案例表示黑客正在尝试替换账号的SIM卡,不排除黑客改变作案手法的可能性。

结语

Visible处理此次事件的奇葩程度简直天下一绝。Visible便宜,但这不应该以牺牲信息安全为代价。你会认为,当运营商发现这样的问题以后,应当在第一时间关闭手机订购并强行通过短信重置所有用户的密码避免事件蔓延,并且尽快封堵漏洞。可是并没有,与此相反的是直到本文发布Visible依旧放任iPhone订购,甚至在用户报告账号被黑以后依然发货。尤其是美国的法律体系下这样的欺诈订单用户是无责的,最终造成的损失100%是Visible承担。Visible这样的处理态度,着实令人匪夷所思

 

p.s. 截至10/20/2021,新受害者的报告已经很少。Visible目前要求所有重认证所有支付信息,或许起作用了?