近日，美国电信巨头Verizon告知其部分预付费客户，攻击者入侵并获得了Verizon账户的访问权限，同时在SIM交换攻击中使用了用户信息。

Verizon负责人在本周发布的警报中表示：在2022年10月6日至10月10日期间，第三方入侵并访问了用户用于自动支付的信用卡后四位数字。

虽然使用该信用卡的最后四位数字，第三方能够访问Verizon账户；但是如果SIM卡发生了更改，就说明Verizon已经扭转了局面。

此外Verizon负责人补充道：目前已经阻止了第三方对账户的进一步访问。

同时，Verizon公司还非常谨慎地为客户重置了账户安全密码（PIN）。

据了解，攻击者无法访问用户完整的信用卡号、银行信息、财务信息、密码、社会保险号、税号或其他个人详细信息是因为用户的账户中不包含这些信息。

因此，攻击者可能已经得知了被盗账户的姓名、电话号码、账单地址和其他与服务相关的信息。

Verizon通信公司是由大西洋贝尔、Nynex以及独立电话公司GTE三家公司组成的。

公司正式合并后，一举成为美国最大的本地电话公司、无线通信公司，同时还是全世界最大的印刷黄页和在线黄页信息提供商。

Verizon通信公司在美国、欧洲、亚洲、太平洋等全球45个国家经营电信及无线业务。

作为一家国际知名的通信公司，此次预付费客户信息泄露事件足以对公司的声誉产生严重影响。

虽然目前第三方访问者并没有利用用户信息进行恶意活动，但是用户信息泄露本身就具有一定的风险。

一位接到通知的客户表示：在Verizon通知客户的一周前就遭受了SIM卡交换攻击。

10月7日，当用户要更换SIM卡时，攻击者破坏了其电子邮件并试图访问用户的加密账户。

当时用户怀疑攻击者是使用Coinbase漏洞进行的攻击，之后才得知攻击者是因为Verizon信用卡信息暴露而获得了访问权限。

据了解，SIM卡交换攻击是指攻击者以各种方式取得用户手机SIM卡，如窃取手机或冒充受害者向电信公司领取新发的SIM卡等。

成功后，攻击者通过另一部手机开机、使用SIM卡，接管真实用户的手机号码，接收受害者的短信、验证码，重置账号密码，并入侵iCloud和Google账号以解锁更多账户。

攻击一旦成功，真实用户的电话就失去网络连接，无法拨打或接听电话。

这种攻击方式也就意味着黑客并不需要绕过手机的安全机制就能得到用户的信息。

一旦用户信息外泄，后果相当严重。

不仅可使歹徒假冒用户身份欺骗Verizon客服修改账号资料，也会突破许多网站常用的双因素验证后进入Verizon网站变更、删改或窃取账户资料。

因此企业及用户，都需要对用户信息进行严密保护。

其中包括企业在处理敏感客户数据时，需要采取相应的安全措施来提高员工、承包商及其业务伙伴的安全意识。

（图源网络，侵删）