På grund af en fejl på T-Mobiles hjemmeside tilbage i april blev kundernes kontooplysninger efterladt tilgængelige for alle at se, Det skriver ZDnet. Mens sikkerhedsfejlen siden er blevet rettet, kunne personlige oplysninger potentielt være blevet misbrugt af alle, der vidste, hvor de skulle lede.
Underdomænet - promotool.t-mobile.com — er en kundeplejeportal, hvor medarbejdere kan få adgang til interne værktøjer. Men fejlen gjorde det nemt at finde den gennem søgemaskiner og krævede ikke en adgangskode for at få adgang til værktøjerne.
Anbefalede videoer
Fejlen skyldtes en skjult API - den gav T-Mobile kundedata ved at tilføje kundens mobiltelefonnummer til slutningen af webadressen. Disse data inkluderede en kundes faktureringskontonummer, postadresse og kontooplysninger, f.eks som status for deres regninger, herunder hvis service for en konto blev suspenderet, eller en regning er forfalden. For nogle var kundekonto-pinkoder og skatte-id-numre også tilgængelige.
Relaterede
- 5G-hastighedsløbet er slut, og T-Mobile har vundet
- T-Mobiles 5G er stadig uovertruffen - men er hastighederne plateauet?
- Her er en anden stor grund til, at T-Mobile 5G dominerer AT&T og Verizon
API'et blev trukket af T-Mobile en dag efter, at det blev rapporteret af sikkerhedsforsker Ryan Stevenson, som også blev tildelt en $1.000 bug-bounty senere. Selvom det ikke er klart, hvor længe API'en blev afsløret, fortalte en talsmand for T-Mobile til ZDnet, at der ikke er beviser for, at nogen kundeoplysninger blev tilgået.
Dette er er ikke første gang et problem som dette er sket med T-Mobile. I oktober tillod en sikkerhedsfejl hackere at få adgang til lignende oplysninger via et T-Mobile-websted. Hackere var i stand til at få e-mail-adresser, kontonumre og mere, blot ved at bruge kundens telefonnummer.
Fejlen blev opdaget af sikkerhedsforsker Karan Saini, og den gjorde det muligt for hackere at få oplysninger om det kunne derefter bruges i et socialt ingeniørangreb, samt give adgang til andre personlige oplysninger online. T-Mobile hævdede, at fejlen kun påvirkede en lille mængde kunder, og at den blev rettet inden for 24 timer efter at være blevet opdaget.
Nyheden om den seneste fejl kommer lidt mindre end en måned efter fusionen med T-Mobile og Sprint blev annonceret - hvilket også var i april. Mens begge luftfartsselskaber var enige om at kombinere virksomheder, har vi endnu ikke set, om det amerikanske justitsministerium vil godkende det.
Redaktørens anbefalinger
- T-Mobiles store forspring inden for 5G-hastigheder går ingen vegne
- T-Mobiles nyeste planer er spændende for nye (og gamle) kunder
- T-Mobile-abonnenter kan få MLS Season Pass gratis
- T-Mobile lider af massivt databrud … igen
- T-Mobile efterlader AT&T og Verizon i 5G-støvet
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
