T-Mobileのセキュリティ侵害を受け、世界第4位の通信事業者Sprintも同様のセキュリティ問題に直面している。TechCrunch の報道によると、Sprintは顧客データを含む企業ポータルへのアクセスに「推測しやすいユーザー名とパスワードを2セット」使用していたという。
セキュリティ研究者が、推測されやすい脆弱なユーザー名とパスワードを2組使用し、Sprint社内のスタッフポータルにアクセスしました。ポータルのログインページでは2要素認証が採用されていなかったため、匿名を希望する研究者は、顧客アカウントデータへのアクセスを許す可能性のあるページにアクセスしました。
スプリントは、5,500万人の顧客を抱える米国第4位の携帯電話ネットワークです。
従業員ポータルには、デバイスの交換、携帯電話サービスプランの管理、アクティベーションステータスの確認などを行うためのツールが含まれています。また、スプリントの子会社であるブースト・モバイルとヴァージン・モバイルの顧客データにもアクセス可能でした。
スプリントは、この問題を知らされたとき、顧客情報にアクセス可能だったとは思わないが、問題は解決されたと述べた。
スプリントの広報担当者は「調査した結果、サイトへの認証が成功しなければ顧客情報が取得されることはないと考えている」と述べた。
「提供された情報とスクリーンショットに基づくと、サイトへのアクセスには正当な認証情報が利用されていました。しかしながら、お客様のセキュリティは最優先事項であり、当社チームはこの問題の調査に全力で取り組んでおり、該当アカウントのパスワードを直ちに変更しました」と広報担当者は述べた。
