Поради грешка в уебсайта на T-Mobile през април, информацията за акаунтите на клиентите беше оставена достъпна за всеки, който да я види, ZDnet съобщава. Въпреки че пропускът в сигурността оттогава е коригиран, личната информация може потенциално да бъде злоупотребена от всеки, който знае къде да търси.
Поддомейнът — promotool.t-mobile.com — е портал за обслужване на клиенти за служители за достъп до вътрешни инструменти. Но грешката позволява лесното му намиране чрез търсачките и не изисква парола за достъп до инструментите.
Препоръчани видеоклипове
Недостатъкът се дължи на скрит API - той предоставя данни за клиенти на T-Mobile, като добавя мобилния телефонен номер на клиента в края на уеб адреса. Тези данни включват номер на сметка за фактуриране на клиента, пощенски адрес и информация за акаунта, като например като състоянието на техните сметки, включително ако услугата за акаунт е била спряна или сметката е просрочена. За някои ПИН кодове на клиентски акаунти и данъчни идентификационни номера също бяха достъпни.
Свързани
- Състезанието за скорост на 5G приключи и T-Mobile спечели
- 5G на T-Mobile все още е несравним – но дали скоростите са стабилни?
- Ето още една голяма причина, поради която T-Mobile 5G доминира над AT&T и Verizon
API беше изтеглен от T-Mobile ден след докладването му от изследователя по сигурността Райън Стивънсън, който също получи награда от $1000 за грешки по-късно. Въпреки че не е ясно колко дълго API е бил изложен, говорител на T-Mobile каза на ZDnet, че няма доказателства за достъп до информация за клиенти.
Това е не е за първи път проблем като този се случи с T-Mobile. През октомври пропуск в сигурността позволи на хакери да получат достъп до подобна информация чрез уебсайт на T-Mobile. Хакерите са успели да получат имейл адреси, номера на акаунти и други, просто като използват телефонния номер на клиента.
Пропускът беше открит от изследователя по сигурността Каран Сайни и позволи на хакерите да получат тази информация след това може да се използва при атака на социално инженерство, както и да се осигури достъп до друга лична информация на линия. T-Mobile твърди, че грешката е засегнала само малък брой клиенти и че е била коригирана в рамките на 24 часа след откриването.
Новината за най-новия пропуск идва малко по-малко от месец след това сливането с T-Mobile и Sprint беше обявено — което също беше през април. Докато и двата превозвача се споразумяха за комбиниране на компании, все още предстои да видим дали Министерството на правосъдието на САЩ ще го одобри.
Препоръки на редакторите
- Огромната преднина на T-Mobile в скоростите на 5G не отива никъде
- Най-новите планове на T-Mobile са вълнуващи за нови (и стари) клиенти
- Абонатите на T-Mobile могат да получат MLS Season Pass безплатно
- T-Mobile претърпява масивно нарушение на данните... отново
- T-Mobile оставя AT&T и Verizon в праха на 5G
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
